「身代金を支払わなければスノーデンに連絡する」、恐喝グループによる新たな脅しの手法が報告される

佐々山 Tacos

2025.03.19

「身代金を支払わなければスノーデンに連絡する」、恐喝グループによる新たな脅しの手法が報告される

The Register – 18 Mar 2025

新たな恐喝グループ「Ox Thief」が被害組織に対し、身代金を支払わなければエドワード・スノーデンに連絡を取ると脅しをかけていたという。情報セキュリティソフトウェアベンダーFortraのダークウェブアナリストが報告した。なお、組織を侵害したとするOx Thiefの主張が真実かどうかは不明。

Ox Thiefは当初、Torサイト上である組織の「機微性の高いファイル」47GB分を盗んだと主張し、身代金が支払われなければデータを公開すると脅すという、ランサムウェアグループに広く採用されているアプローチを採用していたが、その後独自のやり方で恐喝を開始。被害組織が支払いを行わなかった場合に想定されるマイナスな結果を羅列し、支払いを拒否した場合の代償の大きさをアピールしたという。この「結果」には、以下のようなものが含まれる。

データ漏洩の責任を問うような法律への違反による拘禁刑を科される
莫大な罰金を科される
集団訴訟を起こされる
ネガティブな形でニュースに取り上げられる
レピュテーションへのダメージを受ける
インシデントレスポンスにコストがかかる

さらにOx Thiefのリークサイトには、「実際にあったデータ侵害事例」として過去に広く注目を浴びたCapital OneやUberのインシデントの詳細までもが記されているという。加えて同グループは、身代金支払いの要求が満たされなかった場合、以下の個人・団体へ連絡を取ると告げて被害組織へ圧力をかけようとする。

有名なセキュリティジャーナリストのBrian Krebs氏
Have I Been Pwned創設者のTroy Hunt氏
電子フロンティア財団（EFF）
ヨーロッパのプライバシー保護団体NYOB
エドワード・スノーデン氏

これと似たタイプの恐喝手法としては、2023年にALPHVランサムウェアグループが行ったものが挙げられる。ALPHVは同グループのハッキング被害に遭ったとされるフィンテック企業のMeridianLinkに対し、正式な申立てを米証券取引委員会（SEC）へ提出。同社がこのデータ侵害をSECに通知しなかったことは「サイバーセキュリティ・インシデント開示規則への違反」に当たると訴えたという。また「Ransomed」（Ransomed.vc / RansomedVC）と名乗る別のグループも、「身代金を支払わなかった場合、代わりにGDPR違反による高額な制裁金を支払わなければならなくなる」などとデータ保護法への違反をネタに恐喝を行っていたことが報じられている。

Fortraのドメイン・ダークウェブモニタリングサービス部門のシニアマネージャーを務めるNick Oram氏は、ランサムウェアグループへ身代金を支払う組織が減少していることから、こうしたグループは支払いの圧力をかけるための新たな戦術を試すようになっているとの考えを示した。同氏は、進化を続けるこうした手法を理解できれば、事前対策や防御を強化し、インシデントレスポンス戦略を改善することに繋がると述べている。