同じハッカーに攻撃された「KADOKAWAとCDK」を徹底比較、明暗を分けた「ある存在」
日本で今、企業などを狙ったサイバー攻撃が頻発している。そのためセキュリティ対策に関する議論や取り組みが国を挙げて活発化しているが、その一方で抜け漏れている視点があると筆者は考える。これは、6月に発生したロシア系ハッカー集団「BlackSuit」によるKADOKAWAへの攻撃と、同じくBlackSuitによる米CDKグローバルへの攻撃を比較分析すると浮かび上がってくる。実は、ともに身代金を支払ったと報じられているのは共通しているが、KADOKAWAだけが情報漏えいも起きてしまったとされているのだ。何がこの違いを生んだのか。
KADOKAWAとCDKを攻撃した「BlackSuit」とは
KADOKAWAと、全米1万5000の自動車ディーラーに基幹ソフトウェアサービスを提供するCDKグローバルが受けたデータ暗号化ランサムウェア攻撃の結末を分析する前に、まず両社を標的にしたBlackSuitとはどんな犯罪集団なのかを簡単に説明する。
このグループの起源は、2019年に結成された悪名高いロシア系ランサムウェア攻撃グループの「Conti」だ(図1)。Contiは、2022年2月のロシアによるウクライナ侵攻でロシア支持を表明した際に、メンバーの内部情報が敵国ウクライナのハッカー集団によってリークされ、解散に追い込まれた。
その残党が「Royal」を結成し、さらに併存するBlackSuitへと姿を変えていった。米当局は、「BlackSuitがContiの直接の後継者である」との見方を示している。このグループの大きな特徴は、執拗に再攻撃を行うことで交渉中に身代金要求額をつり上げ、被害組織が身代金を支払う場合に「おかわり」を要求するケースがあることだ。
情報漏えいも起きてしまったKADOKAWA
KADOKAWAの場合は、1.5TB(テラバイト)に及ぶ同社グループのデータが暗号化された。KADOKAWAはデータを取り戻すべくBlackSuitに対し、初回4億7,000万円相当の身代金を支払ったが、復旧できなかったと一部で報道された。
BlackSuitは6月27日に、「1.5TBのKADOKAWAグループのデータを暗号化した」と主張。ダークウェブ上で楽曲収益化サービスを利用する一部クリエーターの個人情報や、元従業員が運営する会社の情報、取引先との契約書や見積書といった取引先情報、子会社であるドワンゴ全従業員の個人情報や社内向け文書といった社内情報、N高等学校などの在校生や卒業生、保護者の個人情報を公開し始めた。
BlackSuitは「KADOKAWAに追加で800万ドル(約11億円)を要求したが、支払いに応じなかったため、交渉は決裂した」と主張した。
一方、CDKグローバルにおいては当初1,000万ドル(約14億円)が要求され、交渉中に5倍の5,000万ドル(約70.4億円)につり上げられるという最悪の事態に発展した。ところが、最終的にはそれが半額の2,500万ドル(約35.2億円)に減額されて身代金が支払われ、その1週間後に同社のサービスは徐々に再開された。CDKグローバルはコメントを避けているが、この1回の支払いでデータが回復し、情報漏えいもなかったと推測されている。
KADOKAWAとCDKグローバルに対してBlackSuitは、当初の要求額を大幅にエスカレートさせている。両社ともに、犯行グループとの交渉の詳細は発表を控えているため、何が実際に起こったかは不明だ。
しかし、KADOKAWAとCDKグローバルがほぼ同じ時期に攻撃を受け、最終的に両社とも身代金を支払ったにもかかわらず、KADOKAWAはデータを取り戻せなかったばかりか、個人情報や企業機密も漏えいした。これに対しCDKグローバルは、支払った身代金の額が大きいと言えども、データを取り戻し、情報流出も回避できたという違いが特筆される。何がこの差を生んだのだろうか。
KADOKAWAとCDKの違いを生んだ「ある存在」
ここからは、あくまでも筆者の推測になってしまうのでお許し願いたいのだが、CDKグローバルは身代金交渉人(ransomware negotiator)と呼ばれる第三者の専門家を介して、(1)データの回復、(2)情報漏えいおよび被害拡大の防止、(3)身代金の減額交渉を行ったのではないだろうか。
なぜなら、要求額が当初の1,000万ドルから5,000万ドルへつり上げられたものの、結果的に「落としどころ」の2,500万ドルで済み、データ流出も回避できているからだ。
また、CDKの内部情報筋がCNNの7月11日付の記事で、「ランサムウェア攻撃に見舞われた被害企業の対応を助ける会社を通して暗号資産で身代金が支払われた」と語ったという。つまりは、ランサムウェア身代金交渉人(企業)の可能性が考えられる。
英エコノミスト誌は7月24日付の記事で、ランサムウェア身代金交渉人のニック・シャー氏について紹介している。シャー氏は英情報機関に勤務した元捜査官で、人身誘拐の交渉なども手掛けた経験がある。
身代金交渉人は、極めてクリティカルなデータを暗号化されてパニックに陥った被害企業側およびその弱みを突いてくるハッカー側の心理、組織構造、収益分配ルール、交渉パターンを熟知しており、双方がどのように考えて行動するかを類型化している。
取材を行ったITジャーナリストのアマンダ・ルイス氏によれば、交渉人のシャー氏は被害企業の従業員になりすまし、さらにハッカー集団が「男社会」であることを逆手にとって「女性」としてメールなどで淡々と話を進めてゆく。交渉の緊張感を緩和し、犯人側が手加減をしてくれる効果が期待できるという。
また、被害企業をできるだけ急かしてすぐに支払いの決断をさせようとするハッカーに対して、交渉が打ち切りにならない程度に時間稼ぎを図る。
CDKが「身代金の減額」「データの回復」に成功できたワケ
人間の身代金交渉では、「誘拐された人物が今日付けの新聞を持っている写真」のような生存証明が要求される。暗号化されたデータの場合は、被害企業側が「ファイル・フォルダーツリーのスクリーンショット」を要求するという。犯人側がどれだけのデータを盗んだか、確認するためだ。
ここで最も重要なのは、犯罪グループに対し「被害企業はパニックに陥っている」「必死になっている」と感じさせないことである。「この企業は脅しをエスカレートさせれば何でも言うことを聞く」と脅迫者が判断するからだ。被害者が落ち着いて冷静に対応すれば、値引き交渉さえも可能になる。
これは当事者にとり「言うはやすく行うは難し」であり、ランサムウェア身代金交渉人のような第三者の専門家に依頼するのがより安全だろう。
ちなみに、CDKグローバルのように5,000万ドルの身代金が要求され、交渉人がそれを2,500万ドルに「値引き」させてデータも取り戻すことに成功した場合、2,500万ドルが節約できたことになる。その節約できた分の15%、すなわち375万ドル(約5.2億円)が交渉人に対する報酬の一般的な相場になるようだ。
CDKグローバルのケースでランサムウェア身代金交渉人が話を取りまとめたか否かは、おそらくこれからも明らかになることはないだろう。しかし、交渉のタイムラインや展開と帰結を見る限り、身代金交渉人が間に入った可能性は考えられるだろう。
CDKグローバルとKADOKAWAとの比較から得られる教訓は、再発防止のためのセキュリティ強化はもちろんのこと、交渉中は急がずにハッカー集団からより有利な条件を引き出す手段を用意することかも知れない。
