ランサムウェア戦争・場外戦
セキュリティ企業と研究者の
知られざる攻防

ウイルス対策企業のビットディフェンダー（Bitdefender）は1月11日、驚くべき打開策を「発表できることを嬉しく思う」と述べた。同社は、ダークサイド（DarkSide）という名で知られる犯罪グループが、米国やヨーロッパにある企業数十社のコンピューターネットワークをフリーズさせるために使っていたランサムウェアに欠陥を発見したのだ。ランサムウェアは企業などのネットワークに侵入して機密情報などの入ったファイルを暗号化してしまうマルウェアの一種であり、犯罪グループは暗号化したファイルを復号する代わりとして「身代金」を要求する。ダークサイドからの身代金要求に直面していた企業は、ビットディフェンダーから無料の復号ツールをダウンロードして、ハッカーに何百万ドルという身代金を支払わずに済んだ。

しかし、この欠陥を最初に特定したのはビットディフェンダーではなかった。ファビアン・ウォーサーとマイケル・ギレスピーという2人の研究者は、1カ月前にこのランサムウェアの欠陥に気づき、助けを必要としている被害者を目立たないように探し始めていたのだ。ビットディフェンダーはファイルの復号ツールを公表することで、同じデジタルキーを再利用して複数の被害者のファイルのロックとロック解除ができることなど、ランサムウェアに欠陥があることをダークサイドに注意を促すこととなった。翌日、ダークサイドは、その問題は修正済みであり、「新たに標的とする企業に逃れる術はない」と宣言した。

そして、「問題解決に協力してくれたビットディフェンダーに心から感謝する。これによって私たちはさらに強力になるだろう」と述べた。

ダークサイドは一連の攻撃を仕掛けて、すぐにそれが虚勢ではないことを証明した。5月、コロニアル・パイプライン（Colonial Pipeline）を麻痺させ、米国東海岸で使用される燃料の45％を運ぶ8800キロメートル（5500マイル）のパイプラインを供給停止に追い込んだ。すると、すぐさまガソリン価格は高騰し、南東部全体でガソリンの買い占めが起こり、何千軒ものガソリンスタンドが休業することとなった。ビットディフェンダーの発表がなければ、この危機は阻止され、コロニアルはウォーサーとギレスピーの復号ツールを使って、システムをひそかに復旧できたかもしれない。

現実には、コロニアルはダークサイドにビットコインで440万ドルを支払って、ファイルのロックを解除するためのキーを手に入れた。「あのような者たちにお金を支払うのを不快に思ったことを認めます」と、同社のジョゼフ・ブラウントCEO（最高経営責任者）はウォール・ストリート・ジャーナル紙に語った。

今回逃した好機は、ランサムウェアの脅威の高まりに対する未熟あるいは中途半端な対応という、よくあるパターンの一例であった。パンデミックのさなか、こういったランサムウェアの脅威は、米国全土の企業、学校、病院、政府機関の機能を停止させた。今回の事件では、功名心にかられたウイルス対策企業が、サイバー戦争のいたちごっこゲームにおける「自分たちの発見を決して相手に知られてはいけない」という鉄則を破る場合があることが明らかとなった。

第二次世界大戦中、英国の秘密情報部は、貴重な二重スパイであるジョニー・ジェブセンをゲシュタポが誘拐して殺害する計画を立てていることを解読した交信から知った。そのとき、ジェブセンの上官は、暗号が解読されたことを敵に悟られるのを恐れて、ジェブセンに警告することを許さなかった。今日、ウォーサーやギレスピーのようなランサムウェア・ハンターは、接触する被害者の数が少なくなってしまうとしても、攻撃者に知られていない状態を長引かせようとする。もっとも、遅かれ早かれ、身代金の支払いが少なくなるにつれて、サイバー犯罪者は何かがうまくいかなかったことに気づく。

サイバーセキュリティ企業であるイーセンティア（eSentire）で脅威対策部門のシニアディレクターを務めるロブ・マクラウドは、復号ツールを売り込むかどうかは「計算ずくの決定」であると言う。マーケティングの観点からは、「被害者のデータを復号するセキュリティソリューションをどのように考案したかについて、大々的に喧伝するのです。すると、セキュリティ研究者側からは、『ここではいかなる情報も開示してはいけません。脅威を与える攻撃者に知られないように、データを復号できることがわかったランサムウェアのバグを秘密にしておかなくてはなりません』という話が出ます」。

ウォーサーは、身代金が高額になり、犯罪グループに資金的な余裕ができ、技術的に熟達するにつれて、ビットディフェンダーのようにツールを公開することは、リスクをより高くすると述べた。ランサムウェアが出始めた頃、ハッカーが数百ドルを目的に家庭用コンピューターをフリーズさせていた当時は、欠陥が具体的に指摘されない限り、ハッカーはコードがどのように破られたかを判別できないことがよくあった。

今日、ランサムウェアの作成者は、「非常に有能なリバースエンジニアやペネトレーション（侵入）テスターを利用できます」とウォーサーは言う。「そもそも、ランサムウェア作成者は大抵、高度にセキュリティ保護されたネットワークに入り込むのです。彼らは復号ツールをダウンロードして分析し、リバースエンジニアリングして、ファイルを復号できた理由を正確に把握します。 そして24時間後、すべての欠陥が修正されます。ビットディフェンダーには、考えが足りませんでした」。

ビットディフェンダーが、ウォーサーやギレスピーに先んじられた解決策を喧伝したのは、今回が初めてではなかった。ギレスピーが「ゴーグーグル（GoGoogle）」という種のランサムウェアのコードを破り、注目を浴びないように被害者を支援していたところ、2020年5月にビットディフェンダーが復号ツールをリリースした。他の企業も打開策を公表したとウォーサーとギレスピーは語る。

「ニュースで取り上げられようと誰もが必死になっています。大手セキュリティ企業は被害者のことは気にかけていないのです」とウォーサーは言う。

ルーマニアのブカレストに拠点を置くビットディフェンダーで脅威調査部長を務めるボグダン・ボテザトゥは、ダークサイドに感染したファイルのロック解除にすでに成功していたことを同社は知らなかったと述べた。

ともかく、ボテザトゥ部長は「ランサムウェアに引っ掛かったほとんどの被害者は、ランサムウェア被害の支援グループとの直接的なつながりがなく、メディア報道や簡単な検索からツールの存在について知ることができない限り、どこに助けを求めるべきかわかりません」と言う。そこでビットディフェンダーは、ファイル復号ツールの公開を決定したという。

ビットディフェンダーは、ダークサイドの被害を受けた十数社に無料の技術サポートを提供し、「他の多くの被害者も私たちの支援なしにツールの利用に成功したと信じています」とボテザトゥ部長は語った。ビットディフェンダーは、長年にわたり個人や企業の手助けをして、1億ドル以上の身代金支払いを阻止してきたとボテザトゥ部長は述べている。

ビットディフェンダーは、ダークサイドが欠陥を修正する可能性を認めており、「攻撃者が迅速に私たちの復号プログラムに適応することは十分認識しています」とボテザトゥ部長は言う。しかし、ダークサイドはいずれにしても「問題を発見」した可能性がある。「私たちは、ランサムウェアの復号プログラムがひそかに利用可能になることには賛同しません。攻撃者は、困っているホームユーザーや企業のふりをすることで、復号プログラムの存在を知ることができますが、被害者の大多数は、データを無料で復元できるとは思っていません」。

コロニアル・パイプラインへの攻撃とそれに続く米国南東部全域におけるガソリン供給の混乱は、連邦政府の警戒心を刺激したようだ。ジョー・バイデン大統領は、サイバーセキュリティを改善し、サイバー攻撃に対する連邦政府対応の詳細計画を作成するための大統領令を発令した。ダークサイドは、米国の圧力を受けて活動を停止すると発表したが、ランサムウェアに関わったグループのメンバーは、監視を避けるために解散して新しい名前でグループを再編成したり、もしくは他のグループを立ち上げたり、他のグループに参加したりすることも多い。

ダークサイドに攻撃された10社の相談を受けた、シカゴのサイバーセキュリティ専門弁護士であるアーロン・タントレフは、「彼らは洗練されているので、はるかに賢くなって再び現れます。そしてリベンジをするために戻ってくるでしょう」と話す。

少なくともこれまでは、民間の研究者や企業の方が往々にして、ランサムウェアとの戦いにおいて政府よりも有能であった。昨年10月、マイクロソフトは、サーバーと通信の機能を停止させることで、悪名高い「リューク（Ryuk）」種のランサムウェアを広めた、ウイルス感染したコンピューター100万台超のネットワーク「トリックボット（Trickbot）」のインフラを妨害した。同じ月に、スイスを拠点とする電子メールサービスのプロトンメール（ProtonMail）は、リュークと関連のある2万アカウントを閉鎖した。

ランサムウェア・ハンティングチームという世界的なボランティアグループに属するウォーサーとギレスピーは、300以上の主要なランサムウェア種とその変異種を解読し、推定400万人の被害者を数十億ドルの支払いから救ってきた。

対照的に、米国連邦捜査局（FBI）がランサムウェアを解読したり、攻撃者を逮捕したりするのは稀である。攻撃者は通常、米国との身柄引渡協定がないロシアやイランなどの国に拠点を置いているからだ。例えば、ダークサイドはロシアから活動していると考えられている。FBIに助けを求めるよりも、ハンティングチームのメンバーが管理するWebサイトを通じて、彼らに助けを求めてくる被害者の方がはるかに多い。

米国シークレットサービス（US Secret Service ）もまた、金融犯罪対策の管轄下にあるランサムウェアを調査している。しかし、特に選挙の年には、調査官をサイバー任務から外し、大統領、副大統領、主要政党の候補者、および家族の警護という、よ …