Yahoo!ニュース

米パイプラインへのサイバー攻撃、なぜFBIは「身代金」を取り返せたのか

山田敏弘国際情勢アナリスト/国際ジャーナリスト
ランサムウェアの身代金を奪い返したと発表するリサ・モナコ司法副長官(写真:代表撮影/ロイター/アフロ)

スイスで6月16日、米露首脳会談が行なわれた。

アメリカのジョー・バイデン大統領と、ロシアのウラジーミル・プーチン大統領による初首脳会談では、最近増え続けているランサムウェア(身代金要求型ウィルス)を含むサイバー攻撃が重要な議題の一つになった。バイデン政権の高官が、ランサムウェア攻撃を「国家的な脅威」であると主張しているほどで、ロシアからの攻撃も顕著なことから、プーチンにきちんと面と向かって警告することになったという。

バイデンはプーチンに、次の16の分野へのサイバー攻撃は控えるよう「サイバー攻撃禁止リスト」を渡した。以下の16分野だ。

・化学部門

・商業施設部門

・通信分野

・重要製造部門

・ダム部門

・防衛産業部門

・救急サービス部門

・エネルギー部門

・金融サービス部門

・食料農業部門

・政府機関施設部門

・保健・公衆衛生部門

・IT部門

・原子力関連部門

・交通機関部門

・水道排水部門

もちろんロシア側がこれらの部門への攻撃を実施しないという保証はない。ただロシアにしてみれば、ここを攻撃すれば明確な挑発行為だと示すことができるが、逆に、アメリカから反撃のサイバー攻撃や制裁措置などの対象となるだろう。

アメリカでは先日、このリストのエネルギー部門に当てはまる、米石油パイプライン大手「コロニアル・パイプライン」がランサムウェアで操業停止になり、大騒動になったばかりだ。アメリカ東部でガソリンなどの供給が滞る可能性が指摘されたことで住民がガソリンスタンドに列をなすほど動揺が広がった。

このインフラ事業社への攻撃はロシアのハッキング集団の仕業だった。コロニアル側はロシアの集団に仮想通貨のビットコインで5億円近い身代金の支払いを行なったことが物議になった。基本的に米政府は、こうした事件での身代金支払いに否定的な立場を表明している。身代金を払うことでまた次の犯行が起きる可能性があるからだ。

ただ今回、コロニアル側は身代金を支払ったのだが、驚いたのは、この件について米司法省が開いた記者会見の内容である。リサ・モナコ司法副長官は「司法省は、コロニアルが先月の(ロシアを拠点にする犯行グループの)ダークサイドによるランサムウェア攻撃で支払った身代金の大半を発見し、取り戻した」と力強く語ったのだ。

今回の事件では、FBI(米連邦捜査局)が発覚時から捜査を実施。そしてFBIの協力で、支払ったビットコインの多くを奪回できたのだという。

もともとサイバー犯罪者たちがビットコインを使うのは、支払いや口座の持ち主などがすべて匿名で行えるためだ。足のつかない取引ができるために犯罪者らに重宝されているのが実態だ。

「FBIが身代金を取り戻したというのは今回が初めてではないが、今回の捜査はゲームチェンジャーだと言える」と語るのは、日本とアメリカ、シンガポールを拠点に世界のサイバー攻撃の実態を調査するサイバーセキュリティ企業サイファーマのクマル・リテシュだ。ここまで大々的に「取り戻した」と発表するというのは、「ゲームチェンジャー」、つまり、ランサムウェア対策の形勢を一変させる可能性があるという。

では今回、なぜFBIは身代金を取り戻すことができたのか。詳細についてはまだ不明な点もあるが、今わかっているところではこんな顛末だった。

コロニアルは攻撃者であるダークサイドの要求に沿って、5億円相当となる約75ビットコインを指定されたアカウントに支払った。FBIは、徹底してカネの流れを監視する。ダークサイドは、受け取ってから20日ほどで、いろいろな仮想通貨に買い替えを行なった。要するにマネーロンダリング(資金洗浄)を行なった。

通常、大規模なサイバー犯罪者集団はビットコインで支払いを受けると、別の仮想通貨に買い替えるなどして分散させ、受け取ったビットコインを「洗浄」していく。そうすることで、足がつかない形で現金化することができる。

FBIは、63.7ビットコインが移動されたあるアカウントのパスワード(プライベート・キー)を獲得してアクセスを成功させ、直ちに令状を取ってビットコインを押収。押収できた額は2億5000万円分ほどだった。

しかし今回、FBIは迅速に捜査をはじめ、支払い時点から動きを捕捉し、徹底監視を行なった。ただFBIがなぜ攻撃者のダークサイド側のアカウントのパスワードをゲットできたのかはいまだ不明だ。可能性としては、ダークサイド側にFBIへ協力した人物がいたか、アカウントをもつ攻撃者の登録メールなどを監視してアカウントへのアクセスを実現したのかもしれない。もしくは、過去の攻撃方法を調べてダークサイドの換金手法などをかなり分析できていたのかもしれない。

「いま、サイバーセキュリティ企業や、捜査・情報当局は、ランサムウェアで動く仮想通貨を常に追っています。アカウントがすべて追跡されてしまうことになれば攻撃者たちは別の換金方法を見つけないといけなくなる」と、リテシュは言う。

捜査機関や情報機関は、世界各地で仮想通貨を預かったり、取り引きを担ったりする仮想通貨取引所からビットコインなどの流れを追うことも普段から実施している。ただ国外にはセキュリティ管理のゆるい取引所なども存在しているようで、そういうところまではなかなか手が届かないとも指摘されている。

それでも、世界中でサイバー攻撃集団などがもつ大量の怪しい仮想通貨アカウントを把握してマッピングも行なっている。犯罪集団がランサムウェアで今ほど稼げなくなる日もそう遠くないかもしれない。

サイファーマが最近出した早期警告リポートによれば、パイプラインを襲ったダークサイドとは別のロシア系サイバー集団による新たなランサムウェア攻撃なども検知している。これから世界で猛威を振るいそうな気配を見せているという。

狙われている国は、アメリカ、シンガポール、インド、タイ、ドイツ、スペインなどで、日本も攻撃の対象に挙がっているという。私たちも注意を払う必要があるということだろう。

他でも書いてきたが、ランサムウェアの攻撃はそう複雑なものではない。多くの場合、電子メールの添付ファイルやメール内のリンクを実行することで感染する。

もちろんランサムウェアに限らず、システムに侵入されてしまうようなサイバー攻撃では、同じように電子メールが使われる。実際に筆者が取材で入手した偽の電子メールの実例を二つ紹介したい。

2011年3月。東日本大震災と福島第一原発事故のあとの3月31日、日本の警察やインフラ事業の関係者に中国から偽メールがばらまかれ、「3月30日放射線量の状況」というワード文書ファイルが添付されていた。ファイルを実行するとマルウェア(不正プログラム)に感染する仕組みだった。

2020年1月末。新型コロナウィルス感染症が広がり始める中で、送り主が「京都府山城南保健所福祉室」となっている偽メールが、日本各地に送られた。添付ファイルを開くとマルウェアに感染する恐れがあるものだった。

この手の「もっともらしい」偽メールが来たらクリックしてしまいそうになるのは理解できる。攻撃者はクリックさせようとメールを送ってくるので、それは当然だと言える。

こういう偽メールに、ランサムウェアなどが仕込まれているということは十分に考えられる。今回のパイプラインのケースのように、ビットコインでの支払いをある程度追える可能性が出てきたとしても、まず私たちができるのは、感染しないよう決してこういうメールには手を出さないよう警戒することだ。それには個々が危機意識をもつ必要がある。サイバー攻撃はクリックすることで起きる「人災」でもあることを肝に銘じておいたほうがいいだろう。

国際情勢アナリスト/国際ジャーナリスト

国際情勢アナリスト、国際ジャーナリスト、日本大学客員研究員。講談社、ロイター通信社、ニューズウィーク日本版、MIT(マサチューセッツ工科大学)フルブライトフェローを経てフリーに。最新刊は『プーチンと習近平 独裁者のサイバー戦争』(文春新書)。著書に『モンスター 暗躍する次のアルカイダ』、『ハリウッド検視ファイル トーマス野口の遺言』、『ゼロデイ 米中露サイバー戦争が世界を破壊する』、『CIAスパイ養成官』、『サイバー戦争の今』、『世界のスパイから喰いモノにされる日本』、『死体格差 異状死17万人の衝撃』。 *連絡先:official.yamada@protonmail.com

山田敏弘の最近の記事