日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは? | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは?

Threat Report

Silobreaker-CyberAlert

日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは?

佐々山 Tacos

佐々山 Tacos

2023.09.26

日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは?

9月24日、「Ransomed」(Ransomed.vc / RansomedVC)と名乗る脅威グループが自らのリークサイトにSonyを掲載し、同社の全システムを侵害したと主張。同社のデータとされるものを売りに出すと宣言した。そしてその翌日、RansomedはNTTドコモをリークサイトに追加。同社を侵害してあらゆるデータを盗み取ったと主張して、「盗んだ」と主張するデータと引き換えに身代金101万5,000ドルを支払うよう要求している。※なお、同グループの主張の真偽は不明。

この「Ransomed」とは何者なのか?本記事では、弊社のパートナーである脅威インテリジェンス企業Flashpointのブログ記事をもとに、概要を紹介する。

Ransomed.vcの概要

Ransomedは、今年8月半ばに登場したばかりの新しいランサムウェアリークサイト/グループ。リークサイト上には、現時点で上記2社を含む約30の組織が掲載されている模様。Ransomedはこうした組織に身代金を要求するが、過去には、ヨーロッパの個人情報保護法であるGDPR違反の制裁金をちらつかせて身代金の支払いを迫るなど、独特な恐喝戦術を採用していたのが話題になっていた。

関連記事:GDPRとは?概要や日本企業が知っておくべき4つのポイント

元々はフォーラム?Ransomed登場の経緯

Flashpointによれば、セキュリティメディアなどから「ランサムウェアグループ」と形容されることの多いRansomedは、元々はフォーラムとして登場したという。2023年8月15日に、Ransomed(この時のエイリアスは「RansomForums」)はTelegramにおいて、新しいフォーラムとTelegramチャットチャンネルについて投稿。またこれと同じ日に、「ransomed[.]vc」というドメインが登録された。

DDoS攻撃を受けてランサムウェアブログに転向

しかし同フォーラムは、本格的に始動する前にDDoS攻撃の標的となった。これを受けて、フォーラム運営者はすぐにRansomedをランサムウェアブログとしてリブランディングしたのだという。これ以降、Ransomedは他のランサムウェアグループと同様に、「身代金が支払われない限りデータを公開する」という脅迫を発して被害組織の名前を公表するというアプローチを採用し始めた。

BreachForumsやExposedなどのフォーラムと関連している可能性

Ransomedの創設者らは、BreachForumsやExposedといった他のデータリークフォーラムやWebサイトと関わりを持っているとみられるとされる。Flashpointは、Breach Forums関連のTelegramチャンネルにおいて、Exposedフォーラムの元モデレーターがRansomedを運営している、と述べる投稿を観測したという。なおExposedは、旧Breach Forumsの閉鎖後にその後釜に居座ることを狙って2023年5月に立ち上げられたフォーラム。

関連記事:「復活」が報じられたBreachForums、これまでの経緯を振り返る

GDPRの罰金を恐喝のネタに利用する斬新な戦術を使用

Ransomedは先月後半、GDPRのようなデータ保護法を恐喝のネタとして利用するという斬新な戦術を使っていたのが観測されていた。つまり、「身代金を支払わなければ、個人データが漏洩してGDPR違反による制裁金を支払うことになるぞ」というような脅しをかけるという戦術だ。当時Ransomedが要求していた身代金額は5万ユーロ〜20万ユーロ(※)と、数百万ユーロからそれ以上にのぼる可能性のあるGDPRの制裁金よりも大幅に低い金額だった。このような金額設定にすることで、被害組織に「制裁金より身代金を支払う方が安く済むのだから払ってしまおう」という考えを抱かせようとしたものと思われる。

※NTTに対しては101万5,000ドルという高額な身代金が要求されている。

真偽の怪しい「組織を侵害した」という主張

Ransomedは複数の組織を「侵害した」としてリークサイトに掲載してきたが、その主張の真偽については疑問の声も上がっている。Flashpointは、アクター自身の主張以外にリークサイトに掲載された組織が侵害されたことを示す証拠はなく、またたとえ「証拠」としてスクリーンショットが添付されていたとしても、その画像が信頼できるものかどうかは確認されていないと指摘している。同社はまた、Ransomedが特定のランサムウェア種を使って自ら攻撃を行っているのか、またはすでに流出している情報を使って恐喝のみを行っているのか、どちらなのかは不明だとも述べている。

さらに、Sonyに関する投稿においてRansomedは、「我々はSonyのシステムすべてを侵害することに成功した」と述べたと報じられているが、セキュリティ研究者チームのvx-undergroundは、データは同社から盗まれたわけではないと指摘。同チームは、Sonyに対してランサムウェアは投下されておらず、「データはJenkins、SVN、SonarQube、Creator Cloud Developmentから抽出された」とツイートしている。

上記を踏まえると、国内の大手企業が2社も「被害者」としてリークサイトに掲載されたとはいえ、あくまで「Ransomedの主張の真偽は不明」という点に留意して今後の動向を見守る必要があると言えそうだ。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ