ロシア軍によるウクライナ侵攻が長期化する中、サイバー空間での戦いも激しさを増している。
2022年3月28日のウォール・ストリート・ジャーナルによれば、ウクライナ人の研究者を名乗る匿名の人物が、ロシア系のサイバー犯罪集団と言われるTrickbotの内情を暴いたと報じている。
Trickbotは新型コロナウイルスの大流行が深刻化していた2020年秋、米国の約400の医療機関をターゲットにした大規模なサイバー攻撃を計画していたグループと言われる。
研究者はTrickbotのサーバーに侵入し、メンバーらのコミュニケーションに使う秘密のチャットの内容を入手している。
流出したチャットの規模は、関係者約450人、約20万件にのぼるとされ、ロシアの情報機関とのつながりを示す内容も含まれているという。
ウォール・ストリート・ジャーナルは、ウクライナ戦争が、大規模なリークのきっかけになったと報じている。
最も危険なマルウェアTrickbot
Trickbotの名を、マルウェアのひとつとして記憶している人も少なくないだろう。
米サイバーセキュリティ・インフラセキュリティ庁とFBI(連邦捜査局)が2021年3月に公表した資料によれば、Trickbotは2016年にネット上でその存在が確認されたとされる。TrickLoaderやTricksterという別名も知られている。
例えば、会社の人事部のメールアドレスに、履歴書が添付されたメールが送られてくる。
しかし、メールの送信者は採用希望者ではなくTrickbotだ。履歴書のファイルを開くと、そのPCは乗っ取られ、社内の機密情報にアクセスされ、同様のメールがあちこちに送られ、感染が広がっていく。
Trickbotは、銀行口座からの不正送金、他人のPCで勝手に仮想通貨のマイニングを実行、ターゲットにされた組織のネットワークの破壊など、様々な用途に使われる。
ランサムウェアに感染した企業や個人に身代金を要求し、仮想通貨(暗号資産)やダークウェブなどを使って、発覚しにくい方法で身代金を受け取るシステムも構築していたとみられている。
2019年夏ごろには、Gmailアドレスを中心に、2億5000万件のメールアドレスがTrickbotに感染していたと報じられ、一部の記事には「世界最悪のマルウェア」といったタイトルも付いた。
今回のリークで明らかになったのは、マルウェアを駆使するサイバー犯罪グループTrickbotの内部の事情だ。
まるで企業のような組織
ウォール・ストリート・ジャーナルの報道によれば、犯罪組織としてのTrickbotの内部は、企業のような構造があったようだ。
まず組織のトップと幹部がいて、その下にスタッフ、外部の協力者もいる。組織の規模は約450人ほどにのぼっていた。
豊富な人員をベースに、マルウェアの拡散、被害者の脅迫、身代金の受け取りといった一連のプロセスに使うさまざまなツールを開発し、頻繁にアップデートを繰り返していた。
関係者のみが使うチャットでは、おもにロシア語で会話が交わされていたようだ。
サイバー犯罪による収益は組織内の地位等に応じて配分していたという。
ウォール・ストリート・ジャーナルの記事や、これまでに公開された情報からは、2020年ごろから、Trickbotと米国側は激しい攻防を展開してきたことがうかがえる。
米国側では、政府当局や民間企業がTrickbotに対抗するオペレーションを実行している。
2020年秋には、米軍がTrickbotに乗っ取られた数千台のコンピューターを開放したという。
マイクロソフトは、Trickbotが使っていたレンタルサーバーをブロックしている。
病院を標的に身代金要求
この連載の記事
- 第280回 データセンター建設ラッシュ 日本への投資が熱を帯びる3つの要因
- 第279回 ラピダスがシリコンバレー拠点を作ったワケ
- 第278回 日本円のデジタル化が近づいてきた
- 第277回 仮想通貨取引所の破たんで起きたこと。「史上最大」の詐欺、FTX創業者に禁錮25年
- 第276回 時価1.5兆円の掲示板サイト「Reddit」のビジネスモデル
- 第275回 仮想通貨が通貨危機の引き金に!?
- 第274回 公取委、アマゾンとグーグルに睨み 巨大IT規制の動き、日米欧で相次ぐ
- 第273回 ビットコインが急騰した3つの理由
- 第272回 サイバー犯罪集団LockBit、手口はビジネスさながら “ランサムウェア・アズ・ア・サービス(RaaS)”で企業を脅迫
- 第271回 楽天、5年連続赤字でもストップ高のワケ
- この連載の一覧へ