被害実態の確認から「身代金」の値下げ交渉まで─ランサムウェア攻撃の際、ハッカーと対峙する「ランサムウェア交渉人」という仕事
企業のデータを盗み出し、返還の条件として金銭を要求してくるランサムウェア攻撃が増加している。そんななかで、窮地に陥った企業のためにハッカーとやり取りをし、被害や身代金をできるだけ低く抑えるプロの交渉人も登場している。 【動画】いとも簡単にデータを暗号化してしまうランサムウェア 交渉人とはどんな人で、どのような交渉をするのか。彼らから見たハッカー集団の性質や、攻撃の特徴はどんなものなのか。これまで知られていなかったランサムウェア攻撃の実像を、英誌「1843マガジン」が取材した。 2023年秋、ヨーロッパ某所。あるセキュリティ・オペレーション・センターが、ある事態を通知した。通知を出すことこそセキュリティ・オペレーション・センターの本業だ。その役割はシンプルで、コンピューター・ネットワークの利用者を追跡し、組織を守ることである。 セキュリティ・オペレーション・センターは、しばしばその頭文字から「SOC」の略称で呼ばれる。SOCの仕事は、いうなれば、モニター画面の前に座る、ショッピングモールの夜間警備員のサイバーセキュリティ版だ。居眠りしないように気をつけながら監視、待機している。 さて、その事態とは、監視していた会社のある職員のアカウントが、ランダムなパスワードによってログインを試みられたというものだった。たった1日のうちに数千回の試行がなされたという。これは怪しい。SOCはその企業にむけてこのログインの試行と失敗を通知した。 このSOCも、不正ログインを試みられたその会社も、「世界で最も有名なセキュリティ基準」を満たしていた。しかし、SOCがログイン試行の通知を出しても、会社側はなんら対応をしなかった。また、SOCもこれ以上の追及はしなかった。 そのため、そのログインが最終的に成功したことや、アカウントがすでに退職した職員のものだったこと、また、それが管理者権限を付与されており、会社のネットワーク全体にアクセスできるものだったことには気づかなかった。これに気づいたのは、1ヵ月も先のことだった。 ある日、その会社のネットワークが機能しなくなった。そして、「我々は多くの機密文書、極秘の内部文書、現在の顧客情報を入手した!」などという警告のメールが複数送られてきた。そのなかには、プライベートチャットの招待リンクと有効期限も記されていた。ハッカーは対話を望んでいたのだ。