あるセキュリティ専門家が、ランサムウェア攻撃を仕掛けるREvilなどのグループに支払われたビットコインを追跡して記録するウェブサイト「Ransomwhere」を立ち上げた。
このサイトを開設したのは、サイバーコンサルティング会社Krebs Stamos Groupや米国防総省のDefense Digital Serviceに勤務するセキュリティ研究者、Jack Cable氏だ。
Ransomwhereサイトはクラウドソーシングを活用したオープンなサイトで、ランサムウェアに対する支払いを追跡する。十数件の主要なランサムウェアの亜種に関連付けられているウォレットに被害者が支払ったビットコインの内訳を提供している。支払いは「累計」のほか、「今年」「今月」「今週」の明細を表示できる。
ランサムウェア攻撃は、増加の一途をたどっている。世界の首脳が協議するまでに深刻化しており、石油パイプライン大手Colonial Pipeline、食肉加工大手JBS、そして先週はITシステム管理サービス会社KaseyaがREvilのランサムウェアの標的となり、数十社のマネージドサービスプロバイダーと、その顧客1000社以上に影響した可能性がある。
これまでの累計では、「Netwalker(Mailto)」が首位に立っている。しかし、2021年に限定してみると、JBSとKaseyaの攻撃の背後にいると推測される「REvil/Sodinokibi」が、1130万ドル(約12億円)の身代金を受け取り、リードしている。
REvilの2021年の合計は、Kaseyaに要求した7000万ドル(約77億円)が支払われれば、さらに大きく上昇するだろう。
Cable氏は、Twitterの投稿でこのようなサイトを構築した理由を説明しており、被害者の支払いに関するデータが公開されれば、ランサムウェアに対する対応を変えられる可能性があるとしている。
Cable氏は、「現在ランサムウェアの支払い総数について、包括的な公開データは存在しない。そうしたデータがなければ、ランサムウェアの影響を完全に把握することができないほか、どのように対処すれば、流れを変えることができるかも分からない」と記している。
「Ransomwhereは、ランサムウェアグループに関連したビットコイン取引を追跡することで、そのギャップを埋めるのが目的だ。公開されているため、誰もが自由に閲覧して、データをダウンロードできる。またクラウドソーシングのため、感染もしくは発見したランサムウェアについて、誰でもレポートを提出できる」(Cable氏)
RansomwhereのFAQによると、ビットコインの支払いは透明性があるため、支払いと受け取りアドレスを追跡しやすいという。
このサイトでは、身代金の支払いが行われた日の為替レートに基づき、ビットコインの価値を米ドルに換算している。そのため、攻撃者が複合ツールの見返りに要求した金額ではなく、被害者が支払った金額の推定値となる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。