【ブックレビュー】ランサムウェア追跡チーム
このブログを読む人にとっては知っているよ、という話かもしれませんが、「ランサムウェア」とは「ランサム=身代金」+「ソフトウェア」を組み合わせた造語で、サーバ上にあるデータを暗号化、「復号してほしければ金を払え」(なお金を払っても復号する保証はない)という行為のことを指します。そういう意味ではソフトウェア自体を指す用語ではありません。最近は「ノーランサム」という、暗号化をせずに「データを盗んだ、公開されたくなれけば金を払え」というよりお手軽かつ暴力的な行為も行われています(ノーランサムという言葉が本質付いていない気もしますが・・・)
「あの企業、実は情報漏えいしてますよ!」──ランサムウェア集団が自ら政府機関に“告げ口” 米国で新たな手口 さらには自分でデータを盗んでおいて、政府機関に「こいつら個人情報が漏洩したのに貴方たちに報告していないんですけど」と文字通りマッチポンプする事例すら起きています。こんなことが許されていいのか。
この本でも書かれているように、ランサムウェアという横文字になっていますが要するに「データの誘拐事件」であり、人類史上古来からある犯罪です。まずはその歴史を紐解きます。この「コンピュータにアクセスできなくして金銭を要求する」犯罪の始まりは1989年と判明しています。当時はフロッピーディスクが使われていました。この種の犯罪を始めた人物は、今のようにダークネットにだれでも使えるランサムウェアが売られている時代と異なり、頭は良いが変人でした。そんな人物がコンピュータを手に入れた時、それは恐ろしいことを実行できてしまうのです。 一方でランサムウェアが暗号化による脅迫ならば、それを複号するのがハッカーのミッション、それは鏡に映った人間のように、悪人達と同レベルの才能を持つ「はみ出し者」たちが活躍しています。同レベルの能力者が攻防を繰り返すのはさながら漫画や映画のようですが、僕たちには見えにくい場所でリアルで起きていることです。 そんな優秀な人たちが所属する秘密の組織「ランサムウェア追跡チーム」の存在について書かれています。機密データも見れてしまいますし、なにより攻撃者に手の内を明かすわけにはいきませんから、メンバーの選定、入会条件は厳しいそうです。ランサムウェア攻撃者の背後にはロシアや北朝鮮のような特定の国を攻撃することを目的とした組織がいたりします。そうなると同レベルの能力バトルなどという茶化せる話しではなくなり、命に係わります。ランサムウェア追跡チームの詳細が不明なところはそれも理由でしょうね。
ランサムウェアがハッカーの一攫千金の手段から、国家が敵対勢力に危害を加えるために行使するツールへと進化した
実際昔は一部の変人エンジニアやスクリプトキディがばらまいていたランサムウェアですが、最近ではRaaS(ランサムウェア・アズ・ア・サービス、つまりサービスとしてランサムウェアを販売し、サポートしたりすること)も登場しています。彼らは採用試験も行っており、人事や経理をアウトソースしています。恐ろしい。 攻撃側が組織化する一方で、ランサムウェア追跡チームはボランティアないし労力にみあっていない報酬しか受け取っていません。彼らに泣きつく被害者は彼らをイエス・キリストと思ってすがるのかもしれませんが、彼らもまた妻がいて、生活のある一人の人間でしかない。この問題についても記しています(OSSのメンテナーと同じようなシチュエーションですね)しかし彼らがお金を要求しだしたり、「もうやめた!」となってしまうと途端に攻撃側のやりたい放題になってしまうという・・・。
一企業がランサムウェアのターゲットになることよりもさらに深刻な状況として、10章であるように自治体がターゲットになってしまう事例も紹介されています。電気・ガス・水道・交通。これらのインフラがすべて使えなくなってしまいます。現代の社会はコンピュータとインターネットにより運営されているので、それが掌握されてしまうと社会活動がなりたたくなります。しかし犯罪者にお金を払ったとして、データが復元されること、仮に復元されたとしてその数時間後に再度攻撃される可能性を誰が否定できるでしょうか。
本書で特に良い内容と思った省は、巻末の謝辞でも書かれている「恐喝経済」。ランサムウェアをめぐる闇の深い事例も紹介しています。「暗号化されたデータを復号しますよ」と主張する会社が、実際には攻撃者に身代金を払い、顧客には身代金と手数料を上乗せして請求する経済活動を告発しました。良心の呵責に耐えられず、会社を去る人もいます。そして被害者すら「長時間ビジネスが出来なくなるのであれば、その時間コストを考慮して、保険にも入っているしさっさと解決したい」と思ってしまえば、保険会社にとってもWin。全員が共犯者、利益を得るものとなります。「ランサムウェアギャングと交渉して身代金を下げたうえでデータを復元します」と公言している会社もあります。本人としては全社の詐欺会社・二枚舌会社よりよほどフェアだと確信しているようですが、このような会社の存在があってこそランサムウェアという現実に存在し、このような会社があるからランサムウェアは世の中から無くならない、攻撃側と防御側が歪な共闘関係を結んでいるとも取れます。明らかにおかしな話ですが、世の中はユートピアではないということですね。そのキレイでない世の中でいかにまだマシな社会を作っていくか。
また、ランサムウェアの副次的な被害として「身代金を払って復号キーを受け取らないと仕事ができないでしょ、あなたの大切な写真にもうアクセスできないでしょ」という脅迫ですが、そもそもデータが相手に取られてしまった時点で、それをダークウェブなりGoogle検索なりに公開されてしまうというリスクが存在します。これを「二重の脅迫」といいます。 冒頭紹介したランサムウェア集団が政府機関に情報漏洩を告げ口した話、そして「ノーランサム」を紹介しましたが、データを盗まれた時点で戦いには負けているんですよね。よく「ランサムウェア対策に、別の場所にデータをバックアップしておけ」と語られますが、それはランサムウェア被害の一部しか解決しない策です。プライバシーが重視されるにつれ、現場のセキュリティの業務はどんどん重たくなっていってます。
最終章では日本人もニュースで耳にしたかもしれない、コロナ禍のアメリカで起きたコロニアル・パイプランに対するランサムウェア被害の話が紹介されています。コロニアル・パイプラインを攻撃した”ダークサイド”によりアメリカではランサムウェアの脅威は911と同レベルという認識を持たれ、脅威を過小評価していた米国政府の動きも変わりました。まさに藪をつついて蛇を出す。ランサムウェア業界に君臨していた悪名高い組織”ダークサイド”も米国政府の手により閉鎖されます。しかしそこで作られたコードやノウハウは拡散され、別の組織で使われている、ということは「セキュリティのアレ」でも紹介されています。世界は平和になりました、とはならない・・・。
4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口 コロニアル・パイプライン社へのランサムウェア攻撃・国土安全保障委員会の公聴会で語られた事件の背景とは
この本は序盤はあまり面白くないものの、後半になるほど話は興味深くなります。これまで読んできた本はランサムウェアの「手口」に重きを置いた技術的な話が多かったのですが、この本では表題にもなっているアンチランサムウェアの追跡チームや間に入る交渉会社、保険会社、さらにそれらに影響を与える法律的な話など、今やランサムウェアの存在は社会の広範囲に影響を与えていることを知ることができました。)。ここで起こっていることは(過去のブックレビューでも幾度となく書きましたが)サイバー「戦争」です。終わりのない戦争、個々の勝利はあれどグランドスラムやタッチダウンのような明確な勝利が見えない世界です。