｢年齢の高い男性と45歳以上の女性がターゲット｣､ランサムウェア身代金交渉"恐喝電話の台本"見つかる…周到な手口

ランサムウェアの恐喝はデータ暗号化とリークサイトでの脅迫が中心だが、被害者に直接電話をかける手口も確認されている（写真：yamasan / PIXTA）

「こんにちは、私の名前はエリックです。御社で発生したサイバーセキュリティインシデントについてお電話しています。経営陣の方とお話しすることは可能でしょうか？」

サイバー攻撃やセキュリティの最新動向など、その他の関連記事はこちら

丁寧な口調で始まるこの電話の台本には、想定問答から相手が拒否した場合の切り返しまで用意されている。

一見するとコールセンターの応対マニュアルのようだが、読み進めると「財務記録は確認済みです。支払えないとは言わないでください」「財務責任者の自宅と個人の電話番号を持っています」といった文言が並ぶ。

これはランサムウェア攻撃グループBlack Bastaのメンバーが内部で共有していた恐喝電話の「台本」だ。

ランサムウェアの恐喝はデータ暗号化とリークサイト（窃取データの公開に使うサイト）での脅迫が中心だが、被害者に直接電話をかける手口も一部では確認されている。ただし、その具体的な手順が明らかになることはほとんどなかった。

Black Bastaはデータの暗号化とデータ公開の二重の脅迫で、2022年以降に世界各国の500以上の組織を攻撃してきた。25年2月にその内部チャットが流出し、49人のメンバーによる約1年分・約20万件の会話が明るみに出た。

前回はこの流出データからグループの内幕を描いたが、今回は筆者が1次データを精査する中で見えてきた実態に焦点を当てる。恐喝の「台本」からターゲットの選定、身代金交渉の駆け引きに至るまで、攻撃の各段階が合理的に設計され運用されていた。

「ITサポート」を装い、社員に近づく

恐喝を実行するには、まず標的のネットワークに侵入しデータを窃取する必要がある。その侵入の起点として狙われたのが、多くの企業で社内連絡に使われているMicrosoft Teamsだった。Teamsには社外の相手にもメッセージを送れる機能がある。