Colonial Pipelineは米国時間5月10日、先週発生したランサムウェア攻撃を受け、停止した大半の業務を、「今週末までに」復旧させることを目指していると発表した。同社は今回の攻撃によって運用停止を余儀なくされ、米国東部の燃料の流通に支障が出る可能性もあると懸念されている。
同社は、東海岸で消費される燃料の約45%を供給しているとみられており、ガソリン、ディーゼル燃料、ジェット燃料、家庭暖房用石油、米軍用の燃料などの石油精製品を供給している。
米連邦捜査局(FBI)は同日、ロシアに拠点を置くとみられるハッカーグループDarkSideがこの攻撃に関与していることを確認していると発表した。DarkSideはサービスとしてのランサムウェア(RaaS)を運用し、他の悪意あるグループにサイバー犯罪ツールを販売しているとみられている。また、身代金を目当てに、データを暗号化したり、データを盗んで、身代金の支払いがなければデータを漏えいさせると脅迫することで知られている。
Joe Biden米大統領は報道陣向けの会見で、現時点でこの攻撃にロシア政府が関与しているという証拠はないと述べたものの、脅威アクターのランサムウェアはロシアが発生源となっていることは明らかだと述べた。
DarkSideは10日、この攻撃とColonial Pipelineの被害に関する声明を自らのウェブサイトで公開した。
声明には、「われわれは政治に関心を持っていない上、地政的関係にもくみしない。われわれを特定の政府に結びつけようとしたり、動機を探ろうとする必要はない。われわれの目的は、金銭を得ることであり、社会的な問題を引き起こすことではない。われわれは本日より事前検証制度を導入し、パートナーがデータを暗号化しようとしている各企業をチェックし、今後は社会に重大な影響が及ばないようにする」と書かれている。
DarkSideは2020年夏ごろより活動がみられるようになったとされている。身代金の要求額は20万~200万ドル(約2100万~2億1000万円)に及ぶという。
DarkSideはこれまでにも「大手企業」を標的とする攻撃手法との関連が指摘されている。今回のColonial Pipelineに対する攻撃も、この手法に合致したものと言えそうだ。
また、「DarkSide 2.0」という最新バージョンのランサムウェアが最近リリースされている。DarkSideはアフィリエイトプログラムも開始しているという。
さらにDarkSideのグループはMazeやBabuk、Clopといったグループと同様に、被害者による身代金支払いを促すために「二重脅迫」の手口を用いている。つまり、サイバー攻撃の時点で被害者組織の機密情報は盗み出されている可能性があり、身代金支払いを拒んだ場合にはデータ漏えいサイトでデータを公開すると脅迫される恐れがある。
DarkSideが運営するデータ漏えいサイトは現在、ジャーナリスト向けに自らの主張を発信したり、「(データの)復旧に向けた企業」が彼らと直接やり取りするための場となっているようだ。
また、DarkSideのサイトによると、葬儀サービスや病院、緩和ケア、介護施設のほか、新型コロナウイルスワクチンの流通に関わる一部企業に対する攻撃を禁じるという行動規範を用意しているという。
DarkSideは自らをロビンフッドのような義賊に位置付けようとしている節があるようだ。Cybereasonによると、このグループは身代金の一部を慈善団体に寄付していると主張している。しかし、盗んだビットコイン約2万ドルをさまざまな慈善団体に寄付しようとしたものの、慈善団体はその出所を理由に受け取りを拒否したとみられているという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。