ロシア軍によるウクライナ侵攻が長期化する中、サイバー空間での戦いも激しさを増している。
2022年3月28日のウォール・ストリート・ジャーナルによれば、ウクライナ人の研究者を名乗る匿名の人物が、ロシア系のサイバー犯罪集団と言われるTrickbotの内情を暴いたと報じている。
Trickbotは新型コロナウイルスの大流行が深刻化していた2020年秋、米国の約400の医療機関をターゲットにした大規模なサイバー攻撃を計画していたグループと言われる。
研究者はTrickbotのサーバーに侵入し、メンバーらのコミュニケーションに使う秘密のチャットの内容を入手している。
流出したチャットの規模は、関係者約450人、約20万件にのぼるとされ、ロシアの情報機関とのつながりを示す内容も含まれているという。
ウォール・ストリート・ジャーナルは、ウクライナ戦争が、大規模なリークのきっかけになったと報じている。
最も危険なマルウェアTrickbot
Trickbotの名を、マルウェアのひとつとして記憶している人も少なくないだろう。
米サイバーセキュリティ・インフラセキュリティ庁とFBI(連邦捜査局)が2021年3月に公表した資料によれば、Trickbotは2016年にネット上でその存在が確認されたとされる。TrickLoaderやTricksterという別名も知られている。
例えば、会社の人事部のメールアドレスに、履歴書が添付されたメールが送られてくる。
しかし、メールの送信者は採用希望者ではなくTrickbotだ。履歴書のファイルを開くと、そのPCは乗っ取られ、社内の機密情報にアクセスされ、同様のメールがあちこちに送られ、感染が広がっていく。
Trickbotは、銀行口座からの不正送金、他人のPCで勝手に仮想通貨のマイニングを実行、ターゲットにされた組織のネットワークの破壊など、様々な用途に使われる。
ランサムウェアに感染した企業や個人に身代金を要求し、仮想通貨(暗号資産)やダークウェブなどを使って、発覚しにくい方法で身代金を受け取るシステムも構築していたとみられている。
2019年夏ごろには、Gmailアドレスを中心に、2億5000万件のメールアドレスがTrickbotに感染していたと報じられ、一部の記事には「世界最悪のマルウェア」といったタイトルも付いた。
今回のリークで明らかになったのは、マルウェアを駆使するサイバー犯罪グループTrickbotの内部の事情だ。
まるで企業のような組織
ウォール・ストリート・ジャーナルの報道によれば、犯罪組織としてのTrickbotの内部は、企業のような構造があったようだ。
まず組織のトップと幹部がいて、その下にスタッフ、外部の協力者もいる。組織の規模は約450人ほどにのぼっていた。
豊富な人員をベースに、マルウェアの拡散、被害者の脅迫、身代金の受け取りといった一連のプロセスに使うさまざまなツールを開発し、頻繁にアップデートを繰り返していた。
関係者のみが使うチャットでは、おもにロシア語で会話が交わされていたようだ。
サイバー犯罪による収益は組織内の地位等に応じて配分していたという。
ウォール・ストリート・ジャーナルの記事や、これまでに公開された情報からは、2020年ごろから、Trickbotと米国側は激しい攻防を展開してきたことがうかがえる。
米国側では、政府当局や民間企業がTrickbotに対抗するオペレーションを実行している。
2020年秋には、米軍がTrickbotに乗っ取られた数千台のコンピューターを開放したという。
マイクロソフトは、Trickbotが使っていたレンタルサーバーをブロックしている。
病院を標的に身代金要求
この連載の記事
- 第313回 アマゾンに公取委が“ガサ入れ” 調査の進め方に大きな変化
- 第312回 豪州で16歳未満のSNS禁止 ザル法かもしれないが…
- 第311回 政府、次世代電池に1778億円 「全固体」実現性には疑問も
- 第310回 先端半導体、政府がさらに10兆円。大博打の勝算は
- 第309回 トランプ2.0で、AIブームに拍車?
- 第308回 自動運転:トヨタとNTTが本格協業、日本はゆっくりした動き
- 第307回 総選挙で“ベンチャー政党”が躍進 ネット戦略奏功
- 第306回 IT大手の原発投資相次ぐ AIで電力需要が爆増
- 第305回 AndroidでMicrosoftストアが使えるように? “グーグル分割”の現実味
- 第304回 イーロン・マスク氏、ブラジル最高裁に白旗
- この連載の一覧へ