ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口
おたくま経済新聞 / 2024年6月28日 19時58分
![ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口](https://media.image.infoseek.co.jp/isnews/photos/otakuma/otakuma_20240628_08_0-small.jpg)
ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口(画像:PhotoAC)
6月27日、KADOKAWA及びドワンゴが運営する「ニコニコ動画」が大規模サイバー攻撃をうけた件に関し、「BlackSuit(ブラック・スーツ)」を名のるハッカー集団が犯行声明を出しました。また、犯行声明の発表と同時に、盗み出した2社の社内情報を一部流出させています。
ダークウェブに出された犯行声明によると、KADOKAWAのネットワークには約1か月前に侵入したこと、そしてドワンゴ、ニコニコ、KADOKAWAなどのネットワークを暗号化し、約1.5TBのデータをダウンロードしたと主張しています。また交渉がうまく行かない場合には7月1日に、入手した情報を公開するという脅しも。
犯行声明や、ネットワークの暗号化、そしてデータの人質に、情報の一部流出。こうした手口は被害者に対してより圧力をかけるためにハッカー集団が使う手口ではあります。
しかし、「BlackSuit」の活動が最初に確認されたのは2023年とまだつい最近です。にもかかわらず、あまりに手慣れており、かつ凶暴。攻撃規模からみてもかなり大規模組織であることが想像されます。彼らは一体何者なのでしょう?
■ 身代金は1億3千万から14億もともと「BlackSuit」は「Royal(ロイヤル)」というロシアのハッカー集団だとされています。Royalは2022年1月に「Zeon(ジオン)」という名で始動。後にRoyalへと改名。
始動以降は、主にアメリカの企業を攻撃。急速に知名度をあげ、2023年はじめ頃には「最も活発なハッカー集団(ランサムウェアグループ)」として認知されています。
そして今回の犯行声明名義にもなった、「BlackSuit」という暗号化ツールを2023年5月頃から使い始めます。
いつ頃「Royal」が「BlackSuit」に改名したかは定かではありませんが、アメリカの連邦捜査局(FBI)とサイバー・インフラ安全局(CISA)が共同発表している「サイバーセキュリティアドバイザリー(CSA)」の2023年11月の追記によると、「Royal」がリブランディングをしようとしている兆候があると指摘しています。そして類似性が多くあるとして「BlackSuit」を名指し、注意喚起を行っていました。
なお、こうして度々名称変更するのは、一時的でも捜査の目をごまかすため、関係性を分かりにくくするためなどが考えられています。また、CSAの報告によると、彼らが求める身代金は、約100万ドル(1億3千万90万円)から1100万ドル(14億3990万円)とのこと。
■ 史上最悪のハッカー集団「Conti(コンティ)」の直系「BlackSuit」に名称変更してからも活発な活動はつづき、今日本で話題になっているKADOKAWAおよびニコニコ動画への攻撃以外に、アメリカでもつい最近活動した可能性が考えられています。
6月18日から19日にかけ発生した、アメリカの自動車ディーラー向けソリューションプロバイダー「CDK Global」に対する大規模サイバー攻撃も、「BlackSuit」の仕業ではないか?と海外の報道では伝えられています。
2022年に突如現れ、今や世界の脅威となった「Royal/BlackSuit」。わずか2年半ほどの間の出来事ですが、勿論彼らは突然生まれたわけではありません。
BlackSuit、Royal、Zeonと名のる“さらに前”がありました。2022年6月に解散している、史上最悪と言われたハッカー集団「Conti(コンティ)」です。「Royal/BlackSuit」は「Conti直系の後継」だと言われています。
■ 身代金を払っても復元してくれないContiが確認されたのは2019年12月。ロシアを拠点に活動を行い、ハッカーの中でもタブーとされている医療機関までをも攻撃。
攻撃後は被害者に対して身代金を要求するとともに、支払いを迫る目的で盗んだデータの一部をわざと流出させました。また、身代金の支払いを拒否した場合には、盗んだデータを他の犯罪者グループに売り渡すことでも知られています。
一方、身代金を払ったからといってデータが素直に戻ってくるかというと、データは一部しか復元できない、ファイルを削除したなどと言い出したり、連絡が途絶えたりと、やりたい放題。
つまり払っても何もしてくれない可能性が高いのです。よってContiに狙われた場合は、交渉に応じて復旧を期待するのではなく、バックアップからの自力復元が最善だとされています。
■ ロシアのウクライナ侵攻を機に解散→直系誕生そんな史上最悪と言われたContiですが、ロシアのウクライナ侵攻を機に解散することとなります。2022年2月に、ハッカー集団「アノニマス」がウクライナ支援を表明。ロシア攻撃「#OpRussia(ロシア作戦)」を宣言する出来事がありました。これに対し、Contiは即座にロシア支持を宣言。ロシアにサイバー攻撃が仕掛けられた場合には、全力で報復すると表明したのです。
ところが数日後、ウクライナを支持する匿名の人物の手により、Contiの内部情報約6万件がTwitter(現:X)を通じて流出。それからわずか3か月後の2022年6月に解散しています。なお、解散の直接的な理由は、法執行機関の圧力や内部対立だとされています。
そして「Conti直系の後継」として現在まで続くのが、「Royal/BlackSuit」。始動はウクライナ侵攻がはじまる前の2022年1月に確認されているため、当初はContiにとってのサブブランドもしくはスピンオフ的な存在だったのかもしれません。
ちなみに「Royal/BlackSuit」のメンバーは、ペンテスター、Contiチーム1、他のハッカー集団からリクルートされた人たちで構成され、60人以上いると言われています。ただこれも2023年6月の情報なので、現在はさらに増えている可能性も考えられます。複数の国で同時に大規模ハッキングを仕掛けている可能性があるわけですから。
現在、ニコニコ動画やKADOKAWAらがどういう内容で「BlackSuit」と交渉しているのかは分かりませんが、Conti時代からの手口が現状とほぼ一致していることから、かなり難しい局面にいることだけは間違いないでしょう。
加えて、ニュースを伝える私たち自身注意しなければならないことがあります。2022年に流出したContiの内部情報から、Contiはターゲットから身代金を得やすくするため、報道操作をしようとしていた形跡が発見されています。具体的な手口は判明していませんが、ハッカー集団が良く使う手口には「ジャーナリストに届くよう、わざと情報をリークする」というものがあります。これは混乱を招く目的で、交渉中に戦術の一つとして行われています。
知り得た情報が例え確信が持てるものであったとしても、「犯罪者に利用される」ことだけは報道人として避けなければなりません。もし突然、何らかのスクープ情報を得てしまった場合には、「自分たちは利用されようとしているのではないか」という観点から、一度立ち止まり、状況を考える事が重要です。
<参考・引用>
CISA「#StopRansomware: Royal Ransomware」
HackManac(@H4ckManac)
トレンドマイクロ「Royal」
ロイター「Explainer: The ‘BlackSuit’ hacker behind the CDK Global attack hitting US car dealers」
BleepingComputer「Royal ransomware gang adds BlackSuit encryptor to their arsenal」
The Register「Conti ransomware gang leak: 60,000 messages online」
Krebs on Security「Conti Ransomware Group Diaries, Part III: Weaponry」
※ジャーナリストがContiに利用されていた情報について海外記事をみつけたので末尾に追記しました。(2024年6月30日)
(宮崎美和子)
Publisher By おたくま経済新聞 | Edited By 宮崎美和子 | 記事元URL https://otakuma.net/archives/2024062808.html外部リンク
この記事に関連するニュース
-
内情を暴露しても日本企業の被害は減らない…「KADOKAWA VS. NewsPicks」騒動で本当に重要なこと
プレジデントオンライン / 2024年6月29日 7時15分
-
KADOKAWA、一部クリエイターの個人情報など漏えい確認と報告 ドワンゴ「流出した情報のダウンロードや拡散控えて」
ねとらぼ / 2024年6月28日 20時43分
-
【KADOKAWAシステム障害で注目】日本企業を身代金ウイルスで攻撃するハッカー集団の幹部を直撃取材「俺の正体を突き止めたら100万ドルやるよ」
NEWSポストセブン / 2024年6月28日 16時15分
-
ハッカー集団が犯行声明=KADOKAWAへのサイバー攻撃
時事通信 / 2024年6月27日 23時27分
-
ロシア系ハッカーが犯行声明 ニコニコ動画へのサイバー攻撃
共同通信 / 2024年6月27日 19時42分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
3別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
4オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
5変わり種「スウォッチ」おすすめ4選 オープンダイヤル×メタル素材のモデルに注目!【2024年6月版】
Fav-Log by ITmedia / 2024年6月30日 6時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)