ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」

次の記事

【コラム】社外取締役を務めるCEOが減少しているトレンドには、良い面も悪い面もある

新型コロナウイルスのパンデミックの乱気流で勢いづいたランサムウェアの攻撃は、サイバー犯罪者にとって大きな稼ぎ頭となっており、2020年は攻撃件数が増加した。

こうしたファイルを暗号化する攻撃は、2021年もほぼ衰えることなく続いている。ここ数カ月だけでも、Colonial Pipeline(コロニアル・パイプライン)への攻撃で同社のシステムと東海岸の大部分へのガソリン供給が停止したり、食肉業者のJBSへのハッキングで世界各地の食肉処理場の操業が突然停止したり、2021年7月にはITベンダーのKaseyaへのサプライチェーン攻撃で数百人の下流の被害者がシステムから締め出されたりした

関連記事:独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

しかし、ランサムウェアの攻撃がニュースになることはあっても、その影響を完全に理解することはほとんど不可能だ。また、サイバー犯罪者の身代金要求に応じるなどのある種の決断が違いを生むかどうかもわかっていない。

Krebs Stamos Groupのセキュリティアーキテクトであり、以前は米国のCybersecurity and Infrastructure Agency(サイバーセキュリティ・インフラストラクチャ庁、CISA)に勤務していたJack Cable(ジャック・ケーブル)氏は、クラウドソースによる身代金支払い追跡サイトRansomwhereを立ち上げ、この問題を解決しようとしている。

「Ransomwhereを始めようと思ったきっかけは、Katie Nickels(ケイティ・ニッケルズ)氏がつぶやいた、サイバー犯罪、特にランサムウェアの影響を誰も完全には把握していないという言葉でした」とケーブル氏はTechCrunchに語った。「現在、ランサムウェアの支払いに関する公的なデータを集めた場所がないことを知り、ビットコインの取引を追跡するのは難しくないことから、それをハッキングし始めました」。

このサイトでは、サイバー犯罪者に支払われた身代金をビットコインで集計している。これは、ブロックチェーン上で取引を公開記録することで可能になった。このサイトはクラウドソースなので、誰もが提出できるランサムウェア攻撃の自己申告によるデータを取り入れている。しかし、すべての報告が正当なものであることを確認するために、報告の際にはランサムウェアの支払い要求のスクリーンショットを撮ることが義務付けられており、公開前にケーブル氏自身がすべてのケースを手作業で確認している。承認されたレポートの信憑性が疑われた場合、そのレポートはデータベースから削除される。

すでに急増しているこのデータベースには、個人情報や被害者を特定する情報は一切含まれていないため、サイバーセキュリティ業界や法執行機関の関係者は自由にダウンロードすることができる。

「ランサムウェアの経済性に関する現状を変えるための政策提案を検討する際には、そうしたアクションが成功したかどうかを評価するデータが必要になります」とケーブル氏は話す。「法執行機関は、Colonial Pipelineのハッキングで見られたように、支払った一部を回収する能力を持っているため、このサイトが彼らの努力をさらに支援できればすばらしいことです」。

本稿執筆時点で、同サイトが捕捉した2021年の身代金支払いの総額は3200万ドル(約36億円)以上だ。これらの支払いの大部分は、JBSとKaseyaのハッキングを行ったロシアに関連するランサムウェアギャングであるREvilに支払われた。Ransomwhereによると、このグループは2021年、1100万ドル(約12億円)以上の身代金をかき集めており、Kaseyaへの攻撃の一環として最近要求した7000万ドル(約78億円)が支払われると、その額は劇的に増加する可能性がある。

ダークウェブで最も人気のあるランサムウェア・アズ・ア・サービスの1つであるNetwalkerは、2021年は支払い額が630万ドル(約7億円)以上で2位となっている。Ransomwhereの集計によると、身代金の支払い総額では同グループが最も多く、同サイトのデータによると約2800万ドル(約31億円)に達している。

RangarLockerは460万ドル(約5億1100万円)、DarkSideは440万ドル(約4億8800万円)、Egregorは320万ドル(約3億5500万円)となっており、少なくとも現時点では、Ransomwhereのトップ5に入っている。

ケーブル氏によると、今後は、セキュリティやブロックチェーン分析の分野の企業と提携して、彼らがすでに持っているランサムウェアの動きに関するデータを統合する方法を模索しているという。また、イーサリアムのような追跡可能な他の暗号資産(暗号資産)をサポートする方法や、ビットコインの下流のアドレスを追跡する可能性についても検討している。

「Monero(モネロ)を使用している犯罪者を追跡することはほぼ不可能です」とケーブル氏はいう。「しかし、私は可能な限り全体像を把握したいと思っています」。

カテゴリー:セキュリティ
タグ:ランサムウェアサイバー攻撃Ransomwhere

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi