攻撃グループが政府系かどうかが
山岡:これは実務にも大きな影響がありますね。身代金を支払う判断をする場合に重要となるのがOFAC(米国財務省外国資産管理室)の規制です。
OFAC規制は、SDNリスト(Special Designated Nationals and Blocked Persons List)を公表し、同リストに掲載されたテロ国家やテロ支援組織・個人に対する経済的取引を禁じており、OFAC規制に抵触すると多額の制裁金が課されます。日本においても、外為法において北朝鮮系とされる「ラザルス・グループ」への資本取引が禁止されています。
これまでは、身代金を支払わざるを得ない場合には、攻撃者集団の属性について、OFAC規制に関してはSDNリストに記載されてないか、外為法に関してはラザルス・グループではないことを確認していました。
この確認が、これからは困難になりそうです。一見して、攻撃者集団がSDNリストに掲載されていなかったり、ラザルス・グループでないからといって支払った場合に、実は背後にSDNリストに掲載された国家や団体がいると、OFAC規制や外為法違反となってしまいかねません。
リテシュ:弊社では3000ほどのサイバー犯罪者への監視も日夜行っていて、サイバー攻撃者が、金銭目的なのか国家が背後にいる攻撃なのかを解析して判明できるようにしています。その蓄積から、実際の攻撃を解析する前に攻撃グループが政府系かどうかはある程度わかります。
山岡:どのようにしてランサム攻撃グループの属性を把握できるのでしょうか。というのも、ランサムウェア攻撃グループは、「ロックビット」であるとか「コンティ」であるとかグループ名こそ違いますが、その攻撃手法は似通っています。
例えば、最近の警察庁の公表データではVPN経由での侵入が6割強ということが判明しています。それにもかかわらず、犯罪者が政府系グループかどうかをどのように見分けることができるのでしょうか?
リテシュ:ランサムウェア攻撃では、サーバーやシステムが暗号化されて使えなくなってから初めて気がつきます。しかし、攻撃者はその前から偵察作業をします。ターゲットを見定めるフェーズです。
その時点で彼らは偵察のためのツールなどを使いますが、その時点でわれわれは偵察活動を検知することができます。そこで、かなりの確率で、単なる犯罪者か、政府系グループかを見定めることも可能なのです。
攻撃が発生したあとの動きやツールを見てもわかりますね。金銭目的なら必ず交渉などに戻ってきます。政府系は攻撃後に基本的に交渉などはしてこないし、足跡を残そうとはしない。
山岡:なるほど、最終的にVPN経由で侵入するという攻撃手法は共通していても、攻撃前と攻撃後でもさまざまな情報が手に入るということですね。
リテシュ:攻撃者は可能性に賭けて攻撃しているのではなく、周到に準備をしています。しかも最近では「ALPHV」というグループのように、VPNではなく、RDP(リモートデスクトップを使うプロトコル)を悪用して攻撃してくるグループもいます。
