ここ数年、サイバー脅威のトップを走っている標的型攻撃とランサムウェア。ダークウェーブの脅威分析でも、ランサムウェア・ギャングと呼ばれるハッカーグループが跋扈し、競って企業や政府を攻撃していることが見受けらえます。昨年5月に米国コロニアル・パイプライン社を操業停止に追い込み、440万ドルもの身代金を奪ったとされるのはDarkSideというギャングでした。
下記リストは、弊社のOSINTサービス(SCT SECURE OSINTサービス)で提携しているパートナーから昨年5月に公開されたランサムウェア・ギャングの活動リスト(ランサムウェアに感染させた社数の多い順に並べたもの)です。
このリストでダントツトップにあった「Conti」はロシアベースのランサムウェア・ギャングとされ、ロシア政府を支持し、ロシアへのサイバー攻撃に対する報復を宣言していました。そのギャングに関連して、2022/08/12にこんな記事が。
「ランサムウェア集団「Conti」幹部はこの男――米政府が13億円の賞金、闇サイトで情報募る」
(https://www.itmedia.co.jp/news/articles/2208/16/news054.html)
こちらは、Contiの首謀者に多額の「懸賞金」がかかった、という内容ですが、実は脆弱性診断でも昔からある実施方法の一つです。通常、脆弱性診断は、顧客から提示された対象(webサイトやサーバーなど)に対してのみ診断を実施するのですが、敢えて診断対象を指定せず、ざっくりとしたターゲット情報(会社名やサービス名)のみ提供して、一定期間内にチェックをさせ、見つかった脆弱性の重要度などに応じて懸賞金を払う「bug bounty(バグバウンティ)(脆弱性報奨金制度)という手法です。そのような手法の場合、まずOSINTなどでアカウント情報などダークウェーブに漏洩しているターゲット情報を手掛かりに脆弱性を見つけるのですが、脆弱性診断だけでは、流石にこんな高額な報奨金(正確には1,000万ドル)は聞いたことがありません。今後、皆さんがOSINTを活用した情報収集・分析力を身に付けられれば、我が国でも、莫大な懸賞金を手にする人が出てくるかもしれません。
