世界中の企業にランサムウエア(身代金要求型ウイルス)を使ってサイバー攻撃をしかける世界最大の国際ハッカー集団「ロックビット」に対する国際的な包囲網が狭まっている。欧州の捜査当局が今月、日米欧など12カ国が参加した共同捜査により、ランサムウエア開発者とみられる人物ら4人を逮捕。日本の警察庁がロックビットによる被害を回復させる「ツール」を開発し、国内外で成果を挙げている。
摘発だけでなく被害回復も
欧州刑事警察機構(ユーロポール)の発表によると、ほかに逮捕されたのは、日米欧などから摘発を受けにくいサーバーを貸し出すサービスの管理者や、資金洗浄に関与したとみられる人物らだ。
ロックビットは、攻撃ツールを開発して実行者に提供する「RaaS(ランサムウエア・アズ・ア・サービス)」という方式で、2020年ごろから攻撃を開始。攻撃先のデータを暗号化して使用不能にし、解除と引き換えに身代金を脅し取るほか、要求に応じない場合は盗み取った「データを公開する」と二重に脅す手口も知られる。国内でも昨年、名古屋港などが被害に遭った。
ユーロポールが主導し、日本の警察庁を含む米欧などの捜査当局は「クロノス作戦」として、今年2月にロックビット関係者2人を逮捕したほか、サーバーなどを押収。5月には、英国などが指導者の一人とされるロシア国籍のドミトリー・ホロシェフ氏に資産凍結などの制裁を科した。
警察庁の担当者は「包囲網は狭まっているが、壊滅までには至っていない」と説明。今後も各国で連携して取り締まりを強化していくという。
一方、摘発だけでなく、被害回復に向けた取り組みも進む。警察庁は今年2月、ロックビットによるランサムウエアで暗号化された情報を復元できるツールを独自開発したと発表。ユーロポールを通じて各国に提供した。
警察庁によると、2月以降、国内で10社ほどが一定程度の被害回復に成功。提供した国でも、復元に成功した事例が出てきているという。
担当者は「被害に遭った場合は最寄りの警察署に連絡すれば、警察庁で復元を試みることができる。まずは被害を警察に伝えてほしい」と話している。
見え隠れするロシアの影、「旧ソ連圏」は空白地帯
世界の脅威となっていたロックビットは、指導者の一人がロシア国籍というほかに、主要メンバーがロシアや旧ソ連圏生まれだと自称している。ロシアとの関係が疑われるハッカー集団はほかにも存在しており、西側諸国にとって旧ソ連圏が捜査共助の「空白地帯」となっていることが、捜査を逃れる〝利点〟となっているようだ。
「開発者やパートナーのほとんどが、かつて世界最大の国であったソビエト連邦で生まれ育った」
ロックビットは、攻撃先から盗み出したデータの公開などに使う「リークサイト」上に公開した文書の中で出自をこうつづる。
文書は攻撃ツールを提供した攻撃実行者に対する注意事項をまとめたもので、「ポストソビエト諸国を攻撃することは禁じられている」としてロシアをはじめ、中央アジアや東欧などの国を列挙。オランダに拠点を置いているとするものの、旧ソ連圏との関係も隠していない。
一方、ロシア周辺に拠点を持っているとみられているハッカー集団に、今夏発覚した出版大手「KADOKAWA」への大規模サイバー攻撃で犯行声明を出した「ブラックスーツ」がある。
情報セキュリティー会社「トレンドマイクロ」の岡本勝之セキュリティエバンジェリストは「ロシアを含む旧ソ連圏の国に対する攻撃を仕掛けないという特徴があり、そこに拠点があると考えられている」と話す。
ブラックスーツは、旧ソ連圏と関係があるとみられる「コンティ」「ロイヤル」などのハッカー集団と同様の流れをくんでいるとされ、活動期間は長い。
岡本氏は「旧ソ連圏の国は日米欧など西側諸国と捜査共助を行っておらず、攻撃者が拠点を置いても、その国さえ攻撃しなければ摘発されることはない」と指摘。「国家機関が関与した集団なのかは不明だが、攻撃者たちが拠点を置く大きな理由になっているとみられる」と話した。(橋本昌宗)