米司法省、元ランサムウェア交渉人を恐喝のキックバックで捜査

元ランサムウェア交渉人が、恐喝支払い取引で利益を得るためにランサムウェア集団と協力した疑いで、米国司法省による刑事捜査の対象となっています。

容疑者は、シカゴに拠点を置くインシデント対応およびデジタル資産サービス会社DigitalMintの元従業員です。同社はランサムウェア交渉や、復号化ツールの受け取りや盗まれたデータの公開防止のための暗号通貨支払いの仲介を専門としています。DigitalMintは2017年以降、2,000件以上のランサムウェア交渉を行ったと主張しています。

Bloombergは、最初に報じたところによると、司法省は容疑者がランサムウェア集団と共謀して支払い交渉を行い、顧客に請求された身代金の一部を受け取っていたかどうかを捜査しています。

DigitalMintは、元従業員の一人が刑事捜査を受けていることを認め、BleepingComputerに対し、疑わしい行為を知った後にその従業員を解雇したと伝えました。同社は自社が捜査対象ではないとしています。

「私たちは顧客を守るため迅速に行動し、法執行機関と協力してきました」とDigitalMintのCEO、ジョナサン・ソロモン氏はBleepingComputerに寄せた声明で述べています。

「信頼は日々積み重ねるものです。できる限り早く、影響を受けた関係者に事実を伝え始めました」とDigitalMintの社長、マーク・グレンズ氏は付け加えました。

DigitalMintは、容疑者が逮捕されたかどうかなど、BleepingComputerからのさらなる質問には、捜査が継続中であることを理由に回答しませんでした。

一部の法律事務所や保険会社は、捜査が続く間、今週クライアントにDigitalMintの利用を控えるよう警告したと報じられています。

司法省は今週初めにBloombergからの問い合わせにコメントを控えました。BleepingComputerもFBIに確認を求めましたが、こちらもコメントを控えました。

犯罪からの利益

ProPublicaの2019年の報告によると、米国の一部データ復旧会社が、顧客にはデータ復旧サービスとして料金を請求しながら、実際には秘密裏にランサムウェア集団に支払いを行っていたことが明らかになりました。攻撃者への支払いが行われていたことは顧客に開示されていませんでした。

しかし、これらのランサムウェア支払いは、今日企業が支払う数百万ドル規模の身代金と比べると、数千ドルから数十万ドルとかなり低額でした。

GandCrabやREvilといった一部のランサムウェア運営者は、この種の企業向けに特別な割引コードやチャットインターフェースを用意し、身代金の値引きを受けられるようにしていました。

ランサムウェア交渉会社CovewareのCEO、ビル・シーゲル氏はBleepingComputerに対し、「固定料金制を採用していないビジネスモデルは、この種の悪用が起こりやすい」と述べています。

「取引量や取引額が大きいほど報酬が増えるようなビジネスモデルは、インシデントレスポンス業界には適していません」とシーゲル氏はBleepingComputerに語りました。

「このモラルハザードは長年存在し、何度も表面化していますが、根本的な問題は常に同じです。仲介者が身代金の一定割合を多く得る場合、公正な助言は期待できません。」

シーゲル氏はさらに、ランサムウェアの要求に応じて支払うことは多くの場合企業にとって誤った判断であり、それを攻撃を受けている企業に伝えるのは難しい場合があると述べています。