米石油パイプライン攻撃の犯罪集団、ビットコインで100億円相当の身代金受け取る

身代金支払いにビットコイン

今月、ランサムウェア(注1)によるハッキングを受けた米国最大規模の石油パイプラインを運営するコロニアル・パイプライン社が、約500万ドル(約5.4億円)の身代金の一部を暗号資産(仮想通貨)ビットコイン(BTC)で支払っていたことがわかった。その額は75BTCで、ブロックチェーン犯罪分析を行うElliptic社が、身代金受け取りに使用されたウォレットを特定した。なお、支払いは5月7日に行われたと報じられている。

米国東海岸に燃料の45%を供給している主要パイプラインに、サイバー攻撃を行い、重要な社会インフラを稼働停止に陥れたのは、ハッカー集団「ダークサイド」(DarkSide)の犯行であったと、米連邦捜査局(FBI)は声明を出している。

英ロンドンに拠点を置くElliptic社は、ダークサイドが過去9ヶ月間に使用した全てのウォレットを調査した結果、これまでビットコインで支払われた身代金の総額は9000万ドル(約98億円)以上にのぼることが明らかになったと発表した。

(注1)ランサムウェア:コンピュータシステムやデータへのアクセスを阻止するよう設計された、コンピューターウィルスの一種で、ランサム=身代金とソフトウェアを組み合わせた造語。

サービスとしてのランサムウェア

ダークサイドは、「サービスとしてのランサムウェア」(RaaS=ransomware as a service)と呼ばれる闇サービスを提供する犯罪集団。そのビジネスモデルは、ランサムウェア開発者がマルウェアを作成し、個別のハッカー(アフィリエート)がターゲットとなるコンピュータシステムへのハッキングと身代金支払いの交渉をするという流れだという。

そのため、ソフトウェア開発の高度な知識や技術は持っていなくとも、犯罪を犯す意思と能力があるグループがランサムウェアを利用できるようになり、ランサムウェア攻撃の被害は近年、増大しているという。

関連:仮想通貨で支払われたランサムウェア攻撃被害が大幅増=Chainalysis

ダークサイドの収益

セキュリティ企業FireEye社によると、支払われた身代金はアフィリエートと呼ばれる実行犯と開発者間で分配するが、ダークサイドの場合、身代金が50万ドル(約5500万円)未満の場合その25%、500万ドル(約5.5億円)以上の場合は10%を開発者が受け取る仕組みになっているようだ。

ダークサイドは、過去9ヶ月間に47の異なるウォレットから、9,000万ドル(約98億円)超の身代金をビットコインで受け取っていたとElliptic社は指摘している。

受け取った身代金が分割され、異なるウォレットに送金されている状況は、ブロックチェーン上で明確に確認でき、ダークサイド(開発者)が17%にあたる1,550万ドル(約16.9億円)を受け取り、残額の7,470万ドル(約81.4億円)は様々なアフィリエートに支払われたという。

ダークウェブとディープウェブで諜報活動を行うプラットフォーム「DarkTracer」によると、99の組織がダークサイドのマルウェアに感染し、被害にあった組織の47%が身代金を支払ったという。被害者の平均支払額は190万ドル(約2億円)。

閉鎖されたダークサイド

Elliptic社は、ダークサイドのビットコインウォレットには、先週5,300万ドル(約57.8億円)が保有されていたが、現在は空になっていると指摘している。

サイバー犯罪分析を行う「Intel471」の報道によると、ダークサイドの運営者は5月13日、「米国からの圧力により」RaaSプログラムの運営を直ちに停止すると発表。アフィリエートには、攻撃した対象の復号プログラムを発行し、今月23日までに未払金の清算を行うとした。

ダークサイド運営者は、運営停止の理由として、サーバーをはじめとする同グループのパブリック部分のインフラへアクセスできなくなり、決済サーバーから「未知の口座に」資金が引き出されたと説明。法執行機関がインフラを差し押さえ、資金が流出したと主張している。

実際に法執行機関がサーバーを押収したとの推測もなされているが、真相は明らかになっていない。コロニアル・パイプラインへのサイバー攻撃で、表舞台に出てしまったダークサイド側が、当局からの追求を逃れるために仕組んだ出口詐欺ではないかとの見方もあるようだ。

著者:幸田直子
参考:Elliptic , Intel471

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します