Conti ランサムウェア:ロシア政府のウクライナ侵攻を全面的に支持すると表明

Conti ransomware group announces support of Russia, threatens retaliatory attacks

2022/02/25 CyberScoop — ロシア情報機関とのつながりを疑われ、医療機関などの多数の標的を攻撃することで知られる、悪名高いランサムウェア Conti は、金曜日に「ロシア政府を全面的に支持することを公式に発表する」という警告を掲載した。

このグループは、「ロシアに対するサイバー攻撃や戦争活動を組織する、あらゆる団体の重要なインフラに反撃するために、可能な限りのリソースを投入する」と述べている。このメッセージは、ランサムウェア・グループの Conti が、自らの脅威をアピールし、また、被害者のデータを掲示するために使用する、ダークウェブ・サイトに金曜日に現れた。セキュリティ研究者たちは、このグループがロシアを拠点としていると考えている。

Conti ランサムウェアは、2020年春から2021年春にかけて、主に米国を標的とした 400件以上の攻撃の一部を構成していると、CISA と FBI は 2021年9月の時点で報告している。

Screenshot of message posted to Conti’s site Friday.


最初の投稿が注目された後に、サイトに投稿されたメッセージでは、重要インフラに対する脅威という部分を除外するよう修正されていた。Conti は、「いかなる政府とも同盟を結ばず、進行中の戦争を非難する。ロシア連邦の市民に対する、西側からの圧力と、サイバー戦争で脅迫する米国への対応として、全能力を用いて報復措置を行う」と述べている。

2021年5月に FBI は、米国の医療機関や救急隊のネットワークを標的とした、2020年のランサムウェア攻撃のうち、少なくとも 16件に Conti が関与していると警告している。そのころ、アイルランドにおいても、Conti は医療サービス機関を攻撃するために使用され、一部の医療処置がキャンセルされ、COVID-19 ワクチンのポータルがシャットダウンされ、システムの修復に $112 million 以上の費用がかかる可能性があると、同国のニュース・メディアは報じていた。この FBI の警告は、その後に出されたものである。

サイバー・セキュリティ企業 Mandiant の Director of Financial Crime Analysis である Kimberly Goody は、「以前より、Conti に関与する脅威アクター一部はロシアに拠点を置き、そこから活動する犯罪者は、すでにロシアの情報機関とつながっていると判断している。さらに、最近になって、公に報告されたチャットログは、Conti の主要なプレーヤーが、ロシア政府プロジェクトの支援を意図していた可能性を示唆している」と述べている。

Kimberly Goody は、「ロシアの犯罪市場は、このウクライナ紛争で、すでに傾いた可能性のあるリソースだ。ロシア政府は、このグループとのダイレクトな協力、もしくは、グループのサービスや能力を購入を選択できる。つまり、諜報機関にとって、関与を簡単に否定できる機会が得られる」と述べている。

元 CISA Director であり、現在はコンサルタント Krebs Stamos Group のパートナーである Chris Krebs は、「Conti ランサムウェア・ギャングが、ロシア政府と連携していたかどうかという疑問は、それだけで解決したかもしれない 。このグループのメッセージは、予想外ではない」とツイートしている。

別のアナリストは、この件に関して、より懐疑的な見解を示している。サイバー・セキュリティ企業 Emsisoft の Threat Analyst である Brett Callow は CyberScoop に対して、「この脅威が特に深刻だとは思わない。Conti には、大きな主張をする歴史があり、今回は特に、重要インフラを標的とする能力が欠けていると思われる。とは言え、脅威を見過ごすべきではない。今月の初めに CISA が出したアドバイスに従い防御し、潜在的なサイバー攻撃に備えるべきた」と促している。彼は、「CoomingProject と名乗る別のランサムウェア・グループも、ロシアに対するサイバー攻撃や行為があれば、ロシア政府を助けると公言している」と付け加えている。

CISA のシールドアップ通知では、「現時点では、米国本土に対する具体性を持った脅威はないが、ロシアのウクライナへの攻撃により、サイバーへの警戒の必要性が高まった」と指摘されている。CISA の広報担当者は、今回の Conti の脅迫についてコメントを避けたが、CISA の Director である Jen Easterly は、「重要インフラに対するロシアの報復には、ランサムウェア攻撃が含まれる可能性がある」とツイートし、シールドアップ警告を改めて強調した。

ロシアとウクライナの戦争に外から関与するという Conti の誓約や、ロシアの自警団から、ウクライナのハッカー地下組織、そして、ハクティビスト集団 Anonymous にいたるまで、それらの人々の声明は、威勢が良いだけなのかもしれない。

おそらく、Conti は、現時点で最強のランサムウェア・グループです。その Conti が、ロシア政府に帰順を示すということは、ナショナリズムに駆られてのことなのか、自らの生き残りをかけてのことなのか、どちらかになるはずです。2月8日の「ロシアで継続されるサイバー犯罪の摘発:西側への協力と国内における対策」や、1月18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」を見れば、なんとなく背景が見えてきます。