ASCII倶楽部

このページの本文へ

小島寛明の「規制とテクノロジー」 第173回

世界最悪のロシア系ハッカー集団Trickbotの実態、ウクライナ戦争でリーク

2022年04月04日 09時00分更新

文● 小島寛明

  • この記事をはてなブックマークに追加
  • 本文印刷

 ロシア軍によるウクライナ侵攻が長期化する中、サイバー空間での戦いも激しさを増している。

 2022年3月28日のウォール・ストリート・ジャーナルによれば、ウクライナ人の研究者を名乗る匿名の人物が、ロシア系のサイバー犯罪集団と言われるTrickbotの内情を暴いたと報じている。

 Trickbotは新型コロナウイルスの大流行が深刻化していた2020年秋、米国の約400の医療機関をターゲットにした大規模なサイバー攻撃を計画していたグループと言われる。

 研究者はTrickbotのサーバーに侵入し、メンバーらのコミュニケーションに使う秘密のチャットの内容を入手している。

 流出したチャットの規模は、関係者約450人、約20万件にのぼるとされ、ロシアの情報機関とのつながりを示す内容も含まれているという。

 ウォール・ストリート・ジャーナルは、ウクライナ戦争が、大規模なリークのきっかけになったと報じている。

最も危険なマルウェアTrickbot

 Trickbotの名を、マルウェアのひとつとして記憶している人も少なくないだろう。

 米サイバーセキュリティ・インフラセキュリティ庁とFBI(連邦捜査局)が2021年3月に公表した資料によれば、Trickbotは2016年にネット上でその存在が確認されたとされる。TrickLoaderやTricksterという別名も知られている。

 例えば、会社の人事部のメールアドレスに、履歴書が添付されたメールが送られてくる。

 しかし、メールの送信者は採用希望者ではなくTrickbotだ。履歴書のファイルを開くと、そのPCは乗っ取られ、社内の機密情報にアクセスされ、同様のメールがあちこちに送られ、感染が広がっていく。

 Trickbotは、銀行口座からの不正送金、他人のPCで勝手に仮想通貨のマイニングを実行、ターゲットにされた組織のネットワークの破壊など、様々な用途に使われる。

 ランサムウェアに感染した企業や個人に身代金を要求し、仮想通貨(暗号資産)やダークウェブなどを使って、発覚しにくい方法で身代金を受け取るシステムも構築していたとみられている。

 2019年夏ごろには、Gmailアドレスを中心に、2億5000万件のメールアドレスがTrickbotに感染していたと報じられ、一部の記事には「世界最悪のマルウェア」といったタイトルも付いた。

 今回のリークで明らかになったのは、マルウェアを駆使するサイバー犯罪グループTrickbotの内部の事情だ。

まるで企業のような組織

 ウォール・ストリート・ジャーナルの報道によれば、犯罪組織としてのTrickbotの内部は、企業のような構造があったようだ。

 まず組織のトップと幹部がいて、その下にスタッフ、外部の協力者もいる。組織の規模は約450人ほどにのぼっていた。

 豊富な人員をベースに、マルウェアの拡散、被害者の脅迫、身代金の受け取りといった一連のプロセスに使うさまざまなツールを開発し、頻繁にアップデートを繰り返していた。

 関係者のみが使うチャットでは、おもにロシア語で会話が交わされていたようだ。

 サイバー犯罪による収益は組織内の地位等に応じて配分していたという。

 ウォール・ストリート・ジャーナルの記事や、これまでに公開された情報からは、2020年ごろから、Trickbotと米国側は激しい攻防を展開してきたことがうかがえる。

 米国側では、政府当局や民間企業がTrickbotに対抗するオペレーションを実行している。

 2020年秋には、米軍がTrickbotに乗っ取られた数千台のコンピューターを開放したという。

 マイクロソフトは、Trickbotが使っていたレンタルサーバーをブロックしている。

病院を標的に身代金要求

カテゴリートップへ

この連載の記事

ASCII倶楽部の新着記事

会員専用動画の紹介も!