カプコンを攻撃したのは誰か 「世界で最も有害」なサイバー犯罪集団の正体

大阪市中央区に拠点を置くゲーム大手カプコンが2020年11月16日、サイバー攻撃を受けて、ランサムウェア(身代金要求型ウイルス)による被害を出したと発表した。

これは、近年世界中で猛威を振るっているランサムウェアの被害の一例にすぎない。関係者によれば、カプコン自身も「きちんとサイバー攻撃対策は行っていたが、それでも被害に遭ってしまった」のだと言う。もっとも、サイバー攻撃というのは、防御側が絶対的に不利であり、進化を続ける攻撃の傾向などを追いながら対策を講じていく必要がある。

今回のケースではデータが「漏洩(ろうえい)した」と報じられているが、ある程度の対策をしていたことを考えれば、同社としては、会社に鍵はかけていたが「強盗被害」に遭ってしまったという感覚に違いない。おそらく、それが実態に近いのではないだろうか。

しかしながら、日本ではこうした攻撃が起きても、攻撃者を突き止めることもできないし、攻撃者を摘発することもできない。それができる組織やメカニズムがないからだ。事実、近年メディアで大きく報じられたサイバー攻撃のケースで、攻撃者が特定され、然るべき措置がとられたケースは、筆者の知る限りほぼゼロだ。

ただ国外のセキュリティ関係者や情報関係者などは、攻撃者の動向を追ったり、使われるツールなどを解析するなどしながら攻撃者を常に追跡している。米政府などは攻撃者の写真なども入手して指名手配や起訴を行っている。それが抑止力につながるからだ。

今回のカプコンのケースについても攻撃者についての情報は出てきていない。そこで、国外の情報関係者やセキュリティ関係者への取材から、一体誰が、このランサムウェア攻撃を仕掛けたのか、その攻撃者の姿を追ってみたい。

顧客情報など最大35万件が流出、身代金要求には応じず
まずはじめに、この攻撃について簡単におさらいしたい。

同社が攻撃に気がついたのは、11月2日のこと。社内システムへの接続障害が確認されたことで、直ちに調査を開始し、ランサムウェア攻撃によってサーバが攻撃者によって暗号化されたことを把握した。

そしてシステムの暗号化を解くための身代金要求があった時点で、大阪府警に通報し、その後で迅速に不正アクセスによるシステム障害が発生したことを公表した。

大手企業ほどサイバー攻撃の被害は公開したがらない傾向がある中で、素早い対応だったといえる。同社のプレスリリースによれば、「欧州GDPR監督官庁(ICO)、個人情報保護委員会(日本)にシステム障害の発生につき、報告しています」としている。

ただすでに被害は出ていた。従業員や元従業員の個人情報などが盗まれ、日本や北米の顧客情報も最大で35万件が盗まれたという。また売り上げや取引先情報、内部資料といった同社の重要な情報も奪われている。

そして11月9日には攻撃グループが自らのWebサイトを使って英語で声明を発表、11日には同社から奪った情報の一部、60ギガバイト分を公開した。さらに攻撃者側は1テラバイトという大量の情報を持っているとし、1100万ドル(11億円ほど)の身代金を支払うように要求した。

だがカプコン側は身代金の支払いには応じないと決定。支払ったところで暗号を解除できる保証はないし、同様の攻撃を助長することにもなりかねないからだ。その決断により、結局さらに大量の情報がWebサイトで暴露されることになった。

「世界で最も有害なサイバー犯罪集団」とは
この攻撃で使われたランサムウェアは、「Ragnar Locker」というものだった。

Ragnar Lockerは、19年12月に初めて確認された、Windowsのシステムに感染するランサムウェアだ。通常、ランサムウェアはコンピュータやネットワークを暗号化して使えなくし、暗号を解くのに身代金を支払うよう要求するのだが、今回の攻撃者は、システムを暗号化するだけでなく、暗号化に着手する前に内部の情報を盗み出して、その情報を暴露すると脅迫し、さらに金銭を要求する。最近はこうしたタチの悪い「二重搾取」と呼ばれる手口が増えている。

実はカプコンが攻撃に遭ったのと同じようなタイミングで、イタリアの飲料大手カンパリも、11月3日に同じランサムウェアによる攻撃を受け、2テラバイトという大量の情報を盗まれていた。さらに1500万ドルの身代金を要求されたことも公表していた。

ではこのRagnar Lockerを使う攻撃者とはいったい何者なのか。

海外情報機関の元関係者で現在はセキュリティ企業に協力をしている人物に取材を行うと、今回のカプコンへの攻撃を「かなり注目している」とし、筆者にこう話した。「この『Ragnar Locker』というランサムウェアを使って攻撃を行っている集団は、ロシアの政府系ハッカー集団で、『TA505』という名の集団だ。世界的に起きている大規模なランサムウェアの攻撃キャンペーンの多くに関与しているグループだね」

このTA505は、「イーブル・コー」という名前でも知られ、14年から活動を行っている金銭目的のハッキング集団だ。ターゲットを決めて標的型攻撃を行うことで知られている。当初は金融機関などをターゲットに定めて攻撃を繰り返しており、当時から1億ドル以上を盗んでいたとしてリーダー格のロシア人2人が米国で指名手配されている。そのうち1人には米国務省とFBI(米連邦捜査局)が500万ドルの報奨金を懸けているほどの「危険人物」だ。

また英国の国家犯罪対策庁(NCA)も同グループを「世界で最も有害なサイバー犯罪集団」と呼んで、その動向を追っている。

世界屈指のサイバー攻撃能力をもつロシア
TA505は、昨年終わりごろまではしばらくおとなしくしていたが、最近になってまたランサムウェアを駆使して存在感を見せており、攻撃手法も巧妙化していた。直近では、製薬会社や保健機関など、米国の新型コロナウイルス関連機関を狙った攻撃も行っていると確認されている。

以前、ロシアの情報機関とハッカー集団の関係について話を聞いた元CIA(米中央情報局)のサイバー部門トップで、CISO(最高情報セキュリティ責任者)だった人物は、「ロシアでは、マフィアなどのサイバー犯罪グループも、政府や情報機関とつながっている。ロシアのような国で、犯罪組織が政府とのつながりがない状態で勝手に活動を行うことはできない。必ず関係を維持しているのだ」と話している。TA505のようなグループがマフィアなどともつながっているのは当然ということだろう。

ロシアは世界屈指のサイバー攻撃能力をもつ国だ。国家的に攻撃型サイバー工作を積極的に他国に繰り広げている国々と比べ、マフィアや民間のハッカーの数が圧倒的に多く、彼らが情報機関などとつながっている。すでに述べた米政府に指名手配されているTA505と関係があるロシア人も、「諜報機関のFSB(ロシア連邦保安庁)と関係が指摘されている」(元サイバー工作員)。

カプコンは、とんでもないハッカー集団の標的になってしまったということだろう。

実は近年、Ragnar Lockerに限らず、ランサムウェアによる攻撃そのものの猛威は止まるところをしらない。米国ではランサムウェアによる自治体や企業の被害が深刻で、911(日本の110番)ができなくなった地域も出ているほどだ。19年はランサムウェアで20万カ所以上の自治体のシステムや企業のシステムなどを攻撃され、115億ドル規模の被害が出ている。これまでのシステムを暗号化するだけの攻撃ではなく、情報も盗み出して脅迫する二重搾取が最近のトレンドになっており、その象徴的なものとして「MAZE」と呼ばれるランサムウェアが最近セキュリティ界隈では話題になっていた。

多くの世界的企業をもつ日本も、こうした攻撃に対して、システマチックに対処できるシステムが必要だ。実は最近、国外からの国家的サイバー攻撃に対して然るべき対応をするために、きちんとサイバー攻撃を調査・分析できる組織が必要だとして、議論が始まっていると聞く。

こうした攻撃はどの企業にも他人事ではない。明日にも起きるかもしれないものなのである。サイバー攻撃者は待ってくれない。一刻も早い体制作りが求められる。

(山田敏弘)

シェアする

  • このエントリーをはてなブックマークに追加

フォローする