ロシアのサイバー犯罪集団は、長年にわたって政府から何のおとがめもなく活動してきた。クレムリンと捜査当局は、破壊的なランサムウェア攻撃がロシアの企業を標的にしない限りは、ほとんど見逃している。ランサムウェア集団を摘発するよう西側諸国からプーチンに圧力がかけられているが、サイバー犯罪集団は依然としてロシアの利益と密接に結びついているのだ。

「ランサムウェア集団「Conti」の情報流出から見えた、ロシア政府との複雑な関係」の写真・リンク付きの記事はこちら

こうしたなか、ランサムウェア集団のひとつから流出した最新の情報が、ロシア政府との関係の本質や関係の希薄さが浮き彫りになってくる。

悪名高いランサムウェア集団「Conti」から流出した60,000件のチャットメッセージとファイルのキャッシュからは、この犯罪集団がロシア国内でいかに組織化されているかがうかがえる。Contiをハッキングした匿名のウクライナ人のサイバーセキュリティ研究者によってまとめられた文書が、2022年2月末にオンラインで初めて公開されたのだ。

この文書には、日ごろContiがどのような活動をしていて、暗号資産(暗号通貨、仮想通貨)に対する野心をどれほど抱いているのかが示されている。また、この文書からは、Contiのメンバーがいかにロシアの連邦保安庁(FSB)とつながり、政府が後ろ盾する軍事ハッカーの存在を強く意識しているかが明らかになりそうだ。

徐々に明らかになる政府との関係性

新型コロナウイルスのパンデミック(世界的大流行)の発生と流行初期への対応に世界各国が苦慮していた20年7月、世界中のサイバー犯罪者が目を向けたのは健康危機だった。英国と米国、カナダの政府はロシア政府が支援する軍事ハッカーが初期のワクチン候補に関連する知的財産を盗もうとしていたと、20年7月16日(米国時間)に公表している。

さらに、APT29(Advanced Persistent Threat 29=高度で持続的な脅威)として知られるハッカー集団「Cozy Bear」が、改変されたマルウェアを製薬会社や大学の研究施設で発見された脆弱性に送り込み、攻撃を仕掛けたことも3カ国の政府によって発表された。

それから数日後、Contiの幹部らはこのランサムウェア攻撃について言及している。Contiの最高経営責任者(CEO)的な存在である「スターン」と幹部の「プロフェッサー」と呼ばれる人物は、「政治」について話す場所を設けるとチャットでやりとりしていた。 ふたりの会話の詳細は、このほど公開された文書に含まれている。

この会話でスターンは、グループに金を払う「外部の人物」がいると話している(その理由は明らかではない)。さらには、その人部と標的の引き継ぎについても話し合ったという。

「ロシア政府はいま、新型コロナウイルス関連の情報を必要としている」と、プロフェッサーはスターンに送信している。「Cozy Bearは、すでに政府からの注文を次々とこなしている」

「ふたりはこの会話で、何らかの長期的なプロジェクトの立ち上げについて言及しており、外部の人物から何らかの支援が将来的にあると考えています」と、サイバーセキュリティを専門とするMandiantでサイバー犯罪分析ディレクターを務めるキンバリー・グッディは言う。

「もし捜査当局による取り調べが実施された場合、外部の集団が捜査の手を逃れるための手助けをしてくれることを示唆しているのではないかと、わたしたちは推測しています」と、グッディは語る。彼女はさらに、流出したチャットのデータにはFSBの本庁舎があるサンクトペテルブルクのリチェイニ通りについても言及されていると指摘している。

幹部と構成員の間にある温度差

Contiとロシア政府に直接的なつながりがあるという証拠はまだ見つかっていないが、同集団の活動と国益が合致することに変わりはない。「流出したチャットから推測するに、Contiの幹部たちはロシア政府の暗黙のガイドラインに従う限り活動が容認されていると理解していたのかもしれません」と、セキュリティ企業Recorded Futureのアナリストを務めるアラン・リスカは語る。「ロシア政府とContiの幹部との間で何らかの連絡手段があったようです」

Contiを取りまとめている主要なマネージャーの「マンゴー」は、幹部であるプロフェッサーに「政治に関与していくのか」と2021年4月に尋ねている。 プロフェッサーが詳細を聞き返したところ、マンゴーは「JohnyBoy77」というハンドルネームを使う人物と交わしたチャットメッセージを共有した(Contiのメンバーは全員、身元を隠すために偽名を使っている)。

マンゴーとJohnyBoy77は、反体制派の人々とこれに関連する情報の傍受の可能性について議論していた。チャット内でJohnyBoy77は、ロシアのハッカーや暗殺者の秘密ネットワークを暴露してきたオープンソースによる情報解析を手がける英国の調査報道機関「Bellingcat」につながる人物のデータを入手できないかと打診している。

特に求めていた情報は、ロシアの野党指導者アレクセイ・ナワリヌイの毒殺未遂事件に関するBellingcatの調査資料だった。JohnyBoy77はBellingcatのナワリヌイに関するファイルについて尋ね、Bellingcatのメンバーのログイン情報やFSBについて言及している。こうしたやり取りに対してBellingcatのエグゼクティブディレクターのクリスト・グロゼフは、サイバー犯罪集団とBellingcatの協力者がハッキングされたという情報をFSBが過去に受け取ったとツイートしている。

「われわれは愛国者だよな?」と、マンゴーは入手したファイルについてプロフェッサーに尋ね、「もちろん、われわれは愛国者だよ」とプロフェッサーは答えている。ロシアへの愛国心はConti全体に浸透しており、多くのメンバーがロシアに拠点を置いている。

しかし、このグループは国際的で、ウクライナやベラルーシにもメンバーがおり、さらに遠い国に住むメンバーも存在する。必ずしも全員がロシアのウクライナ侵攻に賛成しているわけではなく、なかには戦争の正当性について議論する者もいるという。

「こうしたランサムウェアグループのグローバル化に伴い、Contiのリーダーがロシアの政治とうまく連携がとれていても、メンバーたちが同じように感じているとは限りません」とRecord Futureのリスカは指摘している。

Contiの最大の脅威はロシア?

21年8月にさかのぼる一連のチャットのやりとりのなかで、「スプーン」とマンゴーはクリミアでの出来事についてやり取りしていた。ロシアは14年にクリミアに侵攻し併合した。これを阻止するためにもっと行動すべきだったと西側諸国の首脳は話している。

このやりとりでクリミアの美しさについてマンゴーは話しているが、10年間スプーンは訪れていないという。「来年はロシアのクリミアに一度遊びにいきたいな」と、スプーンは送信している。

グループのメンバーはロシアの利益や政府機関について言及しているが、必ずしも政府のために働いているとは限らないようだ。「Contiの幹部たちに人脈があるかもしれませんが、一般のプログラマーたちは、そういうわけではなさそうです」と、Mandiantのグッディは語る。

「Contiは間違いなく対策をしています」と、セキュリティ企業Malwarebytesの脅威解析ディレクターであるジェローム・セグラは語る。「部分的に閉鎖されているものやチャットを非公開にしていることが、チャットの履歴から明らかになっています。しかし、活動自体はいつも通り続いているようです」

Contiは文書が公開されてから数週間、ランサムウェアの被害者の名前とファイルをウェブサイトに掲載し続けている。

セキュリティ研究者がContiから流出した情報の詳細を利用してメンバーの名前が公開される可能性があるにもかかわらず、ハッキングは続いている。しかし、Contiにとってより大きな脅威はロシア政府にある可能性がある。

ロシアはランサムウェア集団に対しこれまでで最も影響の大きい措置を1月14日(米国時間)に講じた。FSBは米国当局からの密告を受け「REvil」のメンバー14人を逮捕したが、このグループが逮捕される数カ月前まで活動はほとんど停止していたという。

「Contiの幹部は用済みだとFSBが感じた場合、対策がとられるでしょう。しかし、Contiが継続してハッキングする力をもつことが証明され、存在価値の再構築ができれば、対策が講じられることはないでしょうね」とリスカは推測する。「仮に措置が講じられたとしても、REvilのメンバーと同様のものになるでしょう。派手な逮捕を繰り返して、数カか月ほどしたら逮捕されたメンバーのほとんどが静かに釈放されると思います」

FSBがContiのメンバーに対して同様の対策をとるかどうかは不透明だ。しかし、詳細がリークされる前から猜疑心を抱いている。

Contiのメンバーであるカガスは、慌てたメッセージを21年11月にシュテルンに送信している。「見慣れないクルマが庭先に停められていて、車内にふたり座っている。わたしたちは尾行されていたかもしれない」と、シュテルンに送信している。

さらにカガスは裁判について言及し、それが終わるまでは活動を停止すると送信している。「弁護士は13日まで何もせず静かに過ごしたほうがいいと言っている。普段通りの生活を送って、今後の状況を見守ろう」

(WIRED US/Translation by Naoya Raita)

※『WIRED』によるウクライナ侵攻の関連記事はこちら、ハッキングの関連記事はこちら。

Related Articles

動き出したロシアのハッカー集団、そのマルウェア攻撃に潜む深刻な危険性

ロシアがウクライナへの侵攻を進めているなか、ロシアの悪名高きハッカー集団「Sandworm(サンドワーム)」によるとみられる新たなマルウェアが確認された。意図は明確になっていないが、破壊的な活動につながる危険性も懸念されている。

ハッカー集団「Lapsus$」によるOktaへの攻撃は、さらに大規模な情報流出につながる危険性がある

ハッカー集団「Lapsus$」が認証サービス大手であるOktaのシステムを攻撃し、内部アクセス権限を得たと主張している。多くの大企業を顧客にもつOktaを入り口にハッキングの対象が広がれば、甚大な情報流出につながる危険性が指摘されている。

ウクライナ侵攻で先鋭化するハクティヴィストたち、その活動は本当に「正義」をもたらすのか

ロシアによるウクライナへの侵攻を受け、ハッキングによって政治的な意思表明を狙うハクティヴィストたちの活動が本格化している。だが、「正義」を掲げるハッカーたちの活動が先鋭化することで、予期せぬ結果を招く危険性も指摘されている。

https://media.wired.jp/photos/61de2e1c705e9457064ef62e/master/w_1200,h_630,c_limit/sz_og.png

毎週のイベントに無料参加できる!
『WIRED』日本版のメンバーシップ会員 募集中!

次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。