ゲームソフト大手「カプコン」(大阪市)がサイバー攻撃を受け内部情報などがインターネット上に流出した問題で、攻撃を仕掛けたウイルスの実行ファイルに、ロシア企業のデジタル署名が付与されていたとみられることが20日、情報セキュリティー会社「三井物産セキュアディレクション」への取材で分かった。署名があればウイルス対策ソフトに検知されないケースもあるといい、犯行グループが悪用した疑いがある。
一方、ウイルスはロシアや周辺諸国の言語が設定されたパソコンに感染しないような仕組みになっていたことも判明。犯行グループが自国を攻撃しないようにしているとみられ、デジタル署名と合わせ、ロシアや周辺諸国の人物が関わっている可能性が出ている。
犯行グループは「RAGNAR LOCKER(ラグナ ロッカー)」を名乗る集団で、「ランサム(身代金)ウエア」と呼ばれるコンピューターウイルスが使われていた。
三井物産セキュアディレクションが攻撃に使われたとみられるウイルスを解析したところ、実行ファイルには、ロシア・モスクワにあるとみられる有限会社のデジタル署名が付いていたことが判明した。
署名によってファイルの信頼性が担保され、一部のウイルス対策ソフトの検知を逃れられることがあるという。近年は偽のデジタル署名を付け、安全なファイルを偽装する手法が確認されており、今回も同様の手口を使った可能性がある。
今回のランサムウエアにはロシアやウクライナ、ウズベキスタンなど計12カ国の言語が設定されたパソコンでは感染しないようになっていた。一般的にサイバー攻撃で使用されるウイルスは、犯行グループの国を攻撃しないように設定されていることがあり、ロシアや周辺諸国の人物が関わっているとの見方もある。
「カプコン」に仕掛けられたサイバー攻撃は「機密情報」と「暗号化の解除」の双方と引き換えに、身代金を要求する「二重脅迫」と呼ばれる手口だった。近年は海外を中心に同様の被害が相次いでいる。
「ハローカプコン。全てのデータを暗号化した。そして日本、アメリカ、カナダのあらゆるサーバーにアクセスし、1テラバイト以上のデータを盗みとった。取引に応じなければ、データを公開したり、第三者に販売したりする」
2日未明、カプコンで社内システムの接続障害が発生するとともに、ウイルスに感染したパソコンには英語でこんなメッセージが表示された。
発信元はラグナ ロッカーを名乗る集団。三井物産セキュアディレクションによると、今年5月ごろから出現し、米国やポルトガルなどの海外企業を標的に攻撃を繰り返していた。
ラグナロッカーの手口はこうだ。遠隔操作ウイルスなどで企業のネットワークに侵入し、あらかじめ機密情報となるデータを抜き取った上で、サーバーにランサムウエアを送り込んでパソコンやサーバーのデータを暗号化。機密情報の公開中止と暗号解除の2つと引き換えに、身代金を追跡されにくい「暗号資産(仮想通貨)」で要求する。