出典:John Williams RF / Alamy Stock Photo
クラウド環境やSaaS(Software as a Service)プラットフォームを適切に保護していない組織は、図らずも暴力犯罪や未成年者への性的搾取に資金を提供していることになる。
「The Com」として知られる不穏なサイバー犯罪グループに関するFlashpointの今週の分析によると、主要なロシア系グループが近年分裂・衰退する中、新たに台頭した主に北米のサイバー犯罪グループは、その起源をすべて同一のソースに辿ることができる。これらの脅威グループは、ShinyHunters、Lapsus$、あるいはScattered Spiderといった異なる名称で呼ばれることがある。以前にも報じられたように、これらのグループが一つの雑然とした集合体——「Scattered Lapsus$ Hunters」——として統合されることもあり、それはまさに同一の起源を持つことを示している。いずれにせよ、こうした重複は、ますます憂慮すべき現実を示唆している。The Comのハッカー部門である「Hacker Com」は、より悪質なプロジェクト——児童ポルノの生成・流通、殺人、その他の反社会的行為のリスト——を支援している。捜査当局はScattered Lapsus$ Huntersの資金がそれら特定の犯罪へ流れているとまでは一般的に断定しないが、Flashpointの研究者たちは、The Comの分派グループ(その多くは英語圏のティーンエイジャーで構成されている)と同組織の暴力犯罪との境界線は曖昧であり、場合によっては存在しないと主張している。そして、そのことが関わる若者たちを過激化させ、痛みと悲惨に満ちた恐ろしい世界へと引きずり込んでいる。
確かに、Scattered Lapsus$ Huntersは近年、米国経済全体において最も重大かつ被害総額の大きいサイバー攻撃のいくつかを引き起こしてきた。彼らは、Okta、Salesforce、Microsoft365など、欧米の組織が最も依存するクラウドおよびSaaSプラットフォームを効果的に標的にすることで他から頭角を現してきた。しかし被害者への影響にとどまらず、Flashpointは彼らの犯罪行為を社会全体へのコストとして捉えるべきだと主張している。
The Comという犯罪集団とは何か?
The Comは、ネオナチ、小児性愛者、ネオナチの小児性愛者、稀に高級政府職員、そして罠にかけられたり人身売買された被害者たちが混在する、拡散したエコシステムである。
世界各地に点在しているものの、メンバーの大多数は北米に在住している。前述の通り、その構成員は若年層に偏っており、これはリクルート戦略の結果でもある。The Comはゲームコミュニティやソーシャルメディアから勧誘することが多く、子どもたちへの性的働きかけ、誘惑、セクストーション(性的脅迫)を多用し、被害者をメンバーへと転換させることがある。
大局的に見ると、The Comは三つのサブグループに分類できる。「IRL Com」は、強盗や放火といった物理的な攻撃を担当する。「Extortion Com」は新メンバーのリクルートを行い、洗脳とセクストーションを駆使して子どもたちにポルノや残虐コンテンツの制作や暴力的行為を強要する。そして「Hacker Com」は、著名企業への侵入に加え、SIMスワップ、DDoS攻撃、ランサムウェアなど、あらゆる種類のサイバー犯罪を実行する部門である。
The Comが暴力と性犯罪を支援するしくみ
重要なのは、IRL、Extortion、Hackerの三部門が相互に孤立していないという点だ。
「重複は著しく、政府がこれらを細分化して捉えてきたことが、多くの混乱と犯罪の訴追不足を招いています」と、15年間にわたりThe Comを追ってきたUnit 221BのCEO、アリソン・ニクソン氏は説明する。「政府がそうする理由は理解できますが、一般市民はThe Comに属するハッカーがCSAM(児童性的虐待素材)を所持したり、その作成を強制したりする確率が平均よりもはるかに高く、The Comのセクストーターが収入源として詐欺に手を染める確率も平均よりはるかに高いことを認識すべきです。」
The Comのハッカーたちは、仲間のメンバーが専門とする他の種類の犯罪にも参加することが知られている。FBIのインターネット犯罪苦情センターによると、メンバーたちは「複数のサブグループに及ぶ犯罪行為に参加することが多く、自分のスキルが有益である場合に備えて、複数のサブグループのメンバーと同時に関係を維持している。これらのサブグループ内のメンバーは一般的に、共通の関心・思想・目標を持ち、協力して行動する」という。
詳細には立ち入らないが、ニクソン氏は「764」——関連するネオナチのセクストーション・ネットワーク——の「最初期のイノベーターの一部が、刑務所から出た後に企業を恐喝するようになった」例を挙げる。「だからこそ、彼らは収監され続ける必要があります。犯罪から得た収益は犯罪組織に再投資され、それがインフラの資金調達や、ライバルへの物理的攻撃のために人を派遣する費用に充てられるのです。」
現在のThe Comの動向
BlackFogの創業者兼CEOのダレン・ウィリアムズ氏によると、The Comの主要なハッキング活動は、ここ数週間で鈍化している。たとえばScattered Spiderは、歴史的な被害をもたらしたジャガー・ランドローバーへの攻撃以来、沈黙を保っている。しかし、それをもって休眠状態にあると判断するのは誤りだろう。
「彼らは複数のグループに同時に所属しています。そのため、その時々で最も活発なグループに合わせて移動します。これは珍しいことではありません」とウィリアムズ氏は言う。これらのグループに属するハッカーたちは、次の大規模なキャンペーンに向けて準備を進めているか、あるいは別の名義のもとで積極的に標的を攻撃している可能性が十分にある。
The Com全体を通じて、ニクソン氏はこれまでと変わらない水準の犯罪活動を目の当たりにしており、新たな戦術や手口が「常に」生み出されているという。
「私が最も重大な結果をもたらすと思う最も注目すべきトレンドは、彼らが物理的なアセットをシステマティックに特定し、特定の場所に展開する能力です」と彼女は言う。「誰かの自宅を襲撃したり、侵入したり、特定のWi-Fiネットワークに接続したいと決めたとき、自分たちの犯罪的なソーシャルネットワークの中から、その行為を実行する意欲と能力を持つ若者を探し出す能力のことです。」
翻訳元: https://www.darkreading.com/threat-intelligence/the-com-cyberattacks-violence-sexploitation
