米国のある郡が、2TB超のデータを盗み出したと主張する恐喝グループ「Kairos」に対して100万ドルを支払ったと報じられています。ただし、この郡は盗まれたファイルが削除されたことを独立して検証できる証拠を一切受け取っておらず、あるのは犯罪者側の「約束」だけでした。
つまり、この郡から盗まれたファイルがダークウェブのフォーラムで売りに出される可能性は残っており、同じ(あるいは別の)犯罪集団が再びデータ非公開を条件に恐喝金を要求してくることも考えられます。
また今回のケースは、連邦当局が被害者に対しサイバー犯罪者への支払いを控えるよう呼びかけている一方で、時には身代金の支払いが「より小さな悪」に見えてしまう現実を改めて示しています。
この事案とされる出来事は2025年5月から6月にかけて発生したとされています。防御側とインシデント対応者向けのグローバルな知見共有プラットフォームであるRansom-ISACに掲載された、脅威インテリジェンス研究者Rakesh Krishnan氏によるケーススタディがこれを報告しています。
Krishnan氏はこの郡とKairosの間で行われた交渉のリークされた記録、攻撃者側が提供した資料やスクリーンショット、そしてブロックチェーン上の支払い追跡証拠をもとにレポートをまとめています。
プライバシー保護の観点から、レポートでは身代金交渉人の名前は明かされておらず、被害者についても米国の行政機関としか記載されていません。
しかし、攻撃者側の当初の300万ドルという要求に対する、公的機関側からの以下のようなやり取りを見ると、この被害者が米国のある郡であることがうかがえます。
「私たちは幹部および財務チームとともに状況を精査しました。当郡は資金の乏しい小規模な郡であり、あなた方が提示した金額を到底用意することができません。とはいえ、事態の深刻さは理解しており、解決に向けて取り組みたいと考えています。現時点で私たちが用意できる最大額は10万ドルです。この提案をご検討いただけますようお願い申し上げます。」
さらに、盗まれたとされる文書のひとつ「Media Release – Motorcycle Crash Claims the Life of Dublin Resident 9-10-2020.pdf」から、この郡の境界内にダブリン市が存在していることがうかがえます。
注目すべきは、オハイオ州のダブリン市がユニオン、フランクリン、デラウェア、マディソンという4つの郡にまたがっている点です。そして昨秋、オハイオ州ユニオン郡は2025年5月に発生した「同郡が保有する保護対象の個人情報への不正アクセスおよび取得を伴うランサムウェア攻撃」を公表していました。
このサイバーインシデント通知によると、侵入者は2025年5月6日から2025年5月18日にかけてユニオン郡のネットワークにアクセスし、氏名、社会保障番号、運転免許証・州発行身分証明書番号、金融口座情報、生年月日、指紋情報、医療情報、決済カード情報、パスポート番号などのデータを盗み出したとされています。
ただし、この公表内容には100万ドルの身代金を支払ったことについての言及はなく、攻撃者の名前も明かされていません。
The Registerは郡当局および法執行機関に対し、ユニオン郡がRansom-ISACのレポートで言及されている行政機関に該当するかどうかを問い合わせました。何らかの回答があり次第、本記事を更新する予定です。
FBIはコメントを控えています。
なお、今回の件がランサムウェア攻撃であるという確たる証拠はない点にも触れておく必要があります。攻撃者側はデータを暗号化したとも、支払いと引き換えに復号ツールを提供するとも主張していません。さらにKrishnan氏によれば、セキュリティ研究者はKairosに関連するランサムウェアのサンプル、暗号化ツール、ロッカー型バイナリのいずれも入手・確認できていません。
交渉記録とKairosのデータリークサイトから判明しているのは、犯罪者側が合計約160万ファイル、2TB超のデータを盗んだと主張していたという事実です。
「そのような提案では時間の無駄だ」
被害者である郡を自らの「晒し」ブログに掲載したのち、Kairosは300万ドルを要求しました。「われわれが保有するファイルの完全なリストを渡すので、それを精査する時間を与える」と犯罪者側は被害者に告げています。「そのリストから最大10ファイルを選んでもらえれば、それを送付する。データの公開を防ぐには3000000ドルを支払う必要がある。」
交渉記録によると、郡当局は2025年5月最終週にファイルを精査し、2025年6月4日に最初の対案として10万ドルを提示しました。
これに対しKairosは次のように応じています。「そのような提案では時間の無駄だ。受け入れられない。あなた方のファイルは我々のサイトで格好の宣伝材料になるだろうし、どれほど恐ろしい結果が待ち受けているか理解しているはずだ。データ漏えいを隠すことはできない。有利な提案をするために、あと2日だけ猶予を与える。」
2日後、郡側は提示額を25万5000ドルに引き上げました。Kairosは要求額を200万ドルに引き下げ、2025年6月9日に郡側は43万ドルの支払いを提案しました。
リークされた交渉記録にはこうあります。「私たちは小規模な郡であり資金が限られているため、財政的に許容できる範囲でできる限りの対応をしています。とはいえ、解決に向けて全力を尽くす所存であり、内部で手続きを進め、提示額を43万ドルに引き上げました。これは私たちの制約の中での誠実な取り組みの表れです。事態を建設的かつ迅速に解決するための継続的な努力の一環として、この提案をご検討いただけますようお願いいたします。」
同日、両者は100万ドルで合意に達しました。Kairosはビットコインの支払い用ウォレットを提示し、郡側は支払いと引き換えにいくつかの成果物を要求しています。「100万ドルの支払いに対して、削除の証明、盗まれたすべてのファイルの完全なリスト、そして侵入経路の説明を提供していただけることを確認させてください。」
Kairosは総当たり攻撃によってネットワークへの初期アクセスを得たと主張し、「ダウンロードした全ファイルの削除証明」だとするRARファイルを共有したうえで、次のように約束しました。「われわれはダウンロードしたデータを第三者と共有しないことを保証する。また、二度とあなた方を攻撃しないことも保証する。」
しかし、Krishnan氏が指摘するように、「交渉記録には削除を独立して検証できる技術的な仕組みは示されておらず、これは身代金支払いのシナリオにおける根本的な限界であり続けている」といいます。
支払うべきか、支払わざるべきか
これは、FBIおよび米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が被害者に対し犯罪者への支払いを控えるよう求めている理由のひとつでもあります。
FBIによれば、「身代金を支払っても、あなたや組織がデータを取り戻せる保証はない。それどころか、加害者にさらに多くの被害者を狙わせる動機を与え、この種の違法行為に他者が加担するインセンティブを生み出してしまう」としています。
米連邦政府レベルでは身代金支払いを全面的に禁止する規定はないものの、ノースカロライナ州とフロリダ州の2州は公的機関による恐喝要求への支払いを明確に禁止しており、他の州でも同様の法案が提案されています。
The Registerはこれまで何年にもわたり、ランサムウェア支払い禁止というテーマについて数多くの専門家と議論してきました。専門家の多くは、攻撃を根絶する唯一の方法は犯罪者への金銭的インセンティブを断つことだと口を揃える一方で、支払いの全面禁止はうまくいかないとも指摘しています。
Coalition社でVP兼規制リスク・政策責任者を務めるSezaneh Seymour氏は、以前のインタビューで次のように語っています。「複雑な問題が二者択一の解決策で解決することはめったになく、ランサムウェアも例外ではありません。支払い禁止は、私たちの国全体が抱える問題の根本原因、すなわちデジタルセキュリティの脆弱性の蔓延に対処するものではないため、裏目に出るでしょう。」 ®