｢子どもを学校へ送り､ジムに通う…｣ランサムウェア犯罪者の素顔､攻撃グループの内部チャット20万件が暴いた日常"まるで会社のよう"

侵入後に窃取する情報の選別も抜け目なく計算されている。特に狙われていたのは、企業が隠したい情報だ。

税務関連の警告文書、訴訟記録、コンプライアンス報告書などの機微情報である。また、社員のパスポートや運転免許証、社会保障番号などの個人識別情報も優先的に窃取されていた。脅しに使える情報を積極的に盗み出し、交渉材料としていた。

脆弱性情報の監視体制と生成AIに強い関心

情報収集のスピードも際立っている。企業への侵入に使える新たな脆弱性が公開されると、数日以内に議論が始まる。

早いものでは公開翌日にはやりとりが行われていた。セキュリティ企業さながらの即応体制である。防御側がアップデート適用を検討し始める頃、攻撃側はすでに動き出している。

最新の脆弱性だけではない。古い穴も彼らは重視していた。2024年の会話では「2022年のトップ10脆弱性」が「古いが試してみるべきだ」として共有されていた。アップデートが適用されないまま放置された既知の脆弱性は、コストのかからない確実な侵入口となる。

初期侵入で多用されていたのは、過去の情報漏洩で流出したパスワードだ。ほかの事件で漏洩した認証情報を収集し、侵入に転用する。脆弱なパスワードへの総当たり攻撃も併用され、成功した認証情報はリスト化して組織内で共有されていた。

一度どこかで漏れたパスワードは、別の攻撃者の手に渡り、繰り返し使われる。個人のパスワードの使い回しが、組織的な攻撃の入り口になっている。使い回しの回避や多要素認証の導入といった基本的な対策が、侵入を防ぐ最初の壁といえるだろう。

古い脆弱性を突く一方で、最新技術の導入にも積極的だった。とりわけ生成AIへの関心は早い。

多くの企業がいまだ生成AI導入を試行錯誤する中、攻撃者たちはいち早く実戦に取り込んでいた。フィッシングメールの文面作成、ランサムウェアを別のOSへ移植するためのコード書き換え、ディープフェイクを使った詐欺への応用など、具体的な活用法がすでに議論されていた。

検閲のないAIモデルを求める発言もあった。あるメンバーは生成AIでランサムウェアを開発したと述べ、将来性に期待を示していた。ここでも、防御側が検討する間に攻撃側はすでに動いている。