- BBC記者が身代金の利益を持ちかけるハッカーの標的に
- 犯行グループはダークネットのアドレスやフォーラムのリンクを使って自己紹介
- MFAボンビングがオンライン交渉を侵入的かつ不穏な対決へと変化させた
サイバーセキュリティにおける内部脅威という概念は、しばしば抽象的な用語で語られます。組織がその存在を認識しつつも、実際に直面することは稀な理論上の脆弱性です。
しかし、この抽象的なリスクが、BBCのサイバー特派員ジョー・タイディが、Medusa ランサムウェアグループを名乗る「Syn」と呼ばれる人物から突然持ちかけられたことで、現実のものとなりました。
暗号化メッセージアプリ「Signal」で始まったこの予期せぬ接触は、タイディに対しBBCの内部システムへのアクセスを提供すれば、将来の身代金支払いの一部を受け取れるという、単純ながらも犯罪的な提案でした。
提案と利益の誘惑
タイディは上層部の編集者と相談した上で、その提案の仕組みを理解するために相手とやり取りを始めました。
Synは、記者が自分のログイン情報を渡すことで、グループがBBCのネットワークに侵入し、マルウェアを仕掛け、企業を脅迫するという手順を説明しました。
金銭的な提案はさらにエスカレートし、SynはBBCの総収益の割合に基づく身代金の25%を記者が受け取れると示唆しました。
信頼性を示すため、SynはMedusaのダークネットアドレスへのリンクや、過去の成功例とされるものを提示しました。
具体例として、イギリスの医療企業やアメリカの緊急サービス提供会社が、内部関係者の協力によって攻撃が実行されたと主張しました。
数日間のやり取りの後、タイディが社内のセキュリティ専門家と相談するために時間稼ぎを試みると、犯罪者側の戦術が大きく変化しました。
それまで会話調だったSynは急に苛立ち始め、即時の行動を要求し、「将来ビーチで暮らせる」などとプレッシャーをかけてきました。
この言葉による圧力はすぐに技術的な攻撃に変わり、タイディのスマートフォンには二要素認証のポップアップが大量に表示され始めました。
この手法は「MFAボンビング」と呼ばれ、攻撃者がログインリクエストを連続して送り、被害者が誤って承認するのを狙うもので、遠い交渉が直接的で不穏な対決へと変化しました。
BBCは念のため、タイディを全てのBBCシステムから完全に切り離す措置を取りました。
その後の犯行グループからの連絡は奇妙にも謝罪の言葉が含まれていましたが、元の取引は有効だと主張し続けました。
「チームから謝罪します。あなたのBBCログインページをテストしていました。ご迷惑をおかけした場合は大変申し訳ありません」と彼らは述べました。
最終的に、ハッカーはこれ以上の返答がなかったため、自分たちのアカウントを削除して事件は終息しました。
タイディは犯行グループが想定したような高い権限を持っていなかったものの、この出来事は、サイバー犯罪者が金銭的インセンティブと攻撃的な技術的強要を組み合わせて標的を追い詰める、冷ややかなケーススタディとなりました。
したがって、組織はこのような接触には懐疑的に対応し、従業員が異常なアプローチを迅速に報告できる体制を整えるべきです。
