2021/10/04

REvil を狙う FBI の計画、数百万ドルの被害をもたらす

サイバー攻撃 犯罪 国際 FBI 逮捕

2021 年 10 月 4 日 Trevor Collins 著

今年初め、Kaseya (学校から病院まで何万もの組織をサポートするサービスプロバイダに、IT マネジメントソフトウェアを提供する企業) が、VSA リモートモニタリングマネジメント (RMM) ソフトウェアの侵害によるランサムウェア攻撃に巻き込まれました。影響を受けた顧客はごく一部でしたが、何千もの企業が数日から多いところでは数週間にわたって重要なデータへのアクセスを失い、被害総額は数百万ドルにのぼりました。最終的に Kaseya は攻撃から約 3 週間後、「信頼できるサードパーティ」とする機関からマスター復号鍵を入手しました。

ところが 2 週間前、ワシントンポスト紙は、Kaseya が「信頼できるサードパーティ」としていたのは FBI であり、さらに、復号鍵を Kaseya に提供する約 3 週間前から鍵へのアクセスが可能だった、というニュースを伝えました。FBI はその説明として、攻撃を起こしたランサムウェア組織 REvil に妨害工作を遂行するため、復号鍵を保持していることを隠さなければならなかった、と主張しました。しかし何らかの理由で、FBI は完全に行方を失った REvil に対する調査が終わった後も、3 週間にわたって復号鍵を渡しませんでした。さらに、把握できる範囲では、FBI の調査による成果は出ていません。

今週米国議会の監視改革委員会は、ランサムウェアの復号鍵受け渡しに時間がかかった理由について FBI に説明を求めました。

入手可能な情報に基づくと、時系列は以下のようになると思われます。

• 7 月 2 日、Kaseya の顧客が、ネットワークへのランサムウェア感染を確認。
• 委員会の書簡によれば、攻撃から数日以内に FBI はランサムウェアのマスター復号鍵を手にしていたと考えられる。
• 7 月 12 日までには、REvil のサイトがダウン。
• 7 月 22 日、FBI が復号鍵を Kaseya に渡す。
• 8 月 5 日、あるいはその前後で、ランサムウェアの復号鍵が初めて一般にリーク。

REvil は当初 7,000 万ドルの身代金を要求していましたが、攻撃による被害総額はこれを上回った可能性が高いとみられます。FBI は REvil が行方を失って以降、7 月 12 日から 7 月 22 日の間いつでも復号鍵を渡すことができたにもかかわらず、それを行いませんでした。恐らくサーバがオンラインに戻って、犯人逮捕につながることを期待したのでしょう。しかしより大きな獲物を求めたが故に、結果として数百万ドルの被害を看過することになりました。ランサムウェア攻撃では、法執行機関が被害者の利益を一番に考えてくれるとは限りません。企業は同種の攻撃による被害に備え、バックアップとリカバリーのポリシーを策定すべきです。