6月27日、KADOKAWA及びドワンゴが運営する「ニコニコ動画」が大規模サイバー攻撃をうけた件に関し、「BlackSuit(ブラック・スーツ)」を名のるハッカー集団が犯行声明を出しました。また、犯行声明の発表と同時に、盗み出した2社の社内情報を一部流出させています。
ダークウェブに出された犯行声明によると、KADOKAWAのネットワークには約1か月前に侵入したこと、そしてドワンゴ、ニコニコ、KADOKAWAなどのネットワークを暗号化し、約1.5TBのデータをダウンロードしたと主張しています。また交渉がうまく行かない場合には7月1日に、入手した情報を公開するという脅しも。
犯行声明や、ネットワークの暗号化、そしてデータの人質に、情報の一部流出。こうした手口は被害者に対してより圧力をかけるためにハッカー集団が使う手口ではあります。
しかし、「BlackSuit」の活動が最初に確認されたのは2023年とまだつい最近です。にもかかわらず、あまりに手慣れており、かつ凶暴。攻撃規模からみてもかなり大規模組織であることが想像されます。彼らは一体何者なのでしょう?
■ 身代金は1億3千万から14億
もともと「BlackSuit」は「Royal(ロイヤル)」というロシアのハッカー集団だとされています。Royalは2022年1月に「Zeon(ジオン)」という名で始動。後にRoyalへと改名。
始動以降は、主にアメリカの企業を攻撃。急速に知名度をあげ、2023年はじめ頃には「最も活発なハッカー集団(ランサムウェアグループ)」として認知されています。
そして今回の犯行声明名義にもなった、「BlackSuit」という暗号化ツールを2023年5月頃から使い始めます。
いつ頃「Royal」が「BlackSuit」に改名したかは定かではありませんが、アメリカの連邦捜査局(FBI)とサイバー・インフラ安全局(CISA)が共同発表している「サイバーセキュリティアドバイザリー(CSA)」の2023年11月の追記によると、「Royal」がリブランディングをしようとしている兆候があると指摘しています。そして類似性が多くあるとして「BlackSuit」を名指し、注意喚起を行っていました。
なお、こうして度々名称変更するのは、一時的でも捜査の目をごまかすため、関係性を分かりにくくするためなどが考えられています。また、CSAの報告によると、彼らが求める身代金は、約100万ドル(1億3千万90万円)から1100万ドル(14億3990万円)とのこと。
■ 史上最悪のハッカー集団「Conti(コンティ)」の直系
「BlackSuit」に名称変更してからも活発な活動はつづき、今日本で話題になっているKADOKAWAおよびニコニコ動画への攻撃以外に、アメリカでもつい最近活動した可能性が考えられています。
6月18日から19日にかけ発生した、アメリカの自動車ディーラー向けソリューションプロバイダー「CDK Global」に対する大規模サイバー攻撃も、「BlackSuit」の仕業ではないか?と海外の報道では伝えられています。
2022年に突如現れ、今や世界の脅威となった「Royal/BlackSuit」。わずか2年半ほどの間の出来事ですが、勿論彼らは突然生まれたわけではありません。
BlackSuit、Royal、Zeonと名のる“さらに前”がありました。2022年6月に解散している、史上最悪と言われたハッカー集団「Conti(コンティ)」です。「Royal/BlackSuit」は「Conti直系の後継」だと言われています。
■ 身代金を払っても復元してくれない
Contiが確認されたのは2019年12月。ロシアを拠点に活動を行い、ハッカーの中でもタブーとされている医療機関までをも攻撃。
攻撃後は被害者に対して身代金を要求するとともに、支払いを迫る目的で盗んだデータの一部をわざと流出させました。また、身代金の支払いを拒否した場合には、盗んだデータを他の犯罪者グループに売り渡すことでも知られています。
一方、身代金を払ったからといってデータが素直に戻ってくるかというと、データは一部しか復元できない、ファイルを削除したなどと言い出したり、連絡が途絶えたりと、やりたい放題。
つまり払っても何もしてくれない可能性が高いのです。よってContiに狙われた場合は、交渉に応じて復旧を期待するのではなく、バックアップからの自力復元が最善だとされています。
■ ロシアのウクライナ侵攻を機に解散→直系誕生
そんな史上最悪と言われたContiですが、ロシアのウクライナ侵攻を機に解散することとなります。2022年2月に、ハッカー集団「アノニマス」がウクライナ支援を表明。ロシア攻撃「#OpRussia(ロシア作戦)」を宣言する出来事がありました。これに対し、Contiは即座にロシア支持を宣言。ロシアにサイバー攻撃が仕掛けられた場合には、全力で報復すると表明したのです。
ところが数日後、ウクライナを支持する匿名の人物の手により、Contiの内部情報約6万件がTwitter(現:X)を通じて流出。それからわずか3か月後の2022年6月に解散しています。なお、解散の直接的な理由は、法執行機関の圧力や内部対立だとされています。
そして「Conti直系の後継」として現在まで続くのが、「Royal/BlackSuit」。始動はウクライナ侵攻がはじまる前の2022年1月に確認されているため、当初はContiにとってのサブブランドもしくはスピンオフ的な存在だったのかもしれません。
ちなみに「Royal/BlackSuit」のメンバーは、ペンテスター、Contiチーム1、他のハッカー集団からリクルートされた人たちで構成され、60人以上いると言われています。ただこれも2023年6月の情報なので、現在はさらに増えている可能性も考えられます。複数の国で同時に大規模ハッキングを仕掛けている可能性があるわけですから。
現在、ニコニコ動画やKADOKAWAらがどういう内容で「BlackSuit」と交渉しているのかは分かりませんが、Conti時代からの手口が現状とほぼ一致していることから、かなり難しい局面にいることだけは間違いないでしょう。
加えて、ニュースを伝える私たち自身注意しなければならないことがあります。2022年に流出したContiの内部情報から、Contiはターゲットから身代金を得やすくするため、報道操作をしようとしていた形跡が発見されています。具体的な手口は判明していませんが、ハッカー集団が良く使う手口には「ジャーナリストに届くよう、わざと情報をリークする」というものがあります。これは混乱を招く目的で、交渉中に戦術の一つとして行われています。
知り得た情報が例え確信が持てるものであったとしても、「犯罪者に利用される」ことだけは報道人として避けなければなりません。もし突然、何らかのスクープ情報を得てしまった場合には、「自分たちは利用されようとしているのではないか」という観点から、一度立ち止まり、状況を考える事が重要です。
<参考・引用>
CISA「#StopRansomware: Royal Ransomware」
HackManac(@H4ckManac)
トレンドマイクロ「Royal」
ロイター「Explainer: The ‘BlackSuit’ hacker behind the CDK Global attack hitting US car dealers」
BleepingComputer「Royal ransomware gang adds BlackSuit encryptor to their arsenal」
The Register「Conti ransomware gang leak: 60,000 messages online」
Krebs on Security「Conti Ransomware Group Diaries, Part III: Weaponry」
※ジャーナリストがContiに利用されていた情報について海外記事をみつけたので末尾に追記しました。(2024年6月30日)
(宮崎美和子)