カプコン情報流出、露系組織が関与か ウイルスファイルに露企業デジタル署名
ゲームソフト大手「カプコン」(大阪市)がサイバー攻撃を受け内部情報などがインターネット上に流出した問題で、攻撃を仕掛けたウイルスの実行ファイルに、ロシア企業のデジタル署名が付与されていたとみられることが20日、情報セキュリティー会社「三井物産セキュアディレクション」への取材で分かった。署名があればウイルス対策ソフトに検知されないケースもあるといい、犯行グループが悪用した疑いがある。
一方、ウイルスはロシアや周辺諸国の言語が設定されたパソコンに感染しないような仕組みになっていたことも判明。犯行グループが自国を攻撃しないようにしているとみられ、デジタル署名と合わせ、ロシアや周辺諸国の人物が関わっている可能性が出ている。
犯行グループは「RAGNAR LOCKER(ラグナ ロッカー)」を名乗る集団で、「ランサム(身代金)ウエア」と呼ばれるコンピューターウイルスが使われていた。
三井物産セキュアディレクションが攻撃に使われたとみられるウイルスを解析したところ、実行ファイルには、ロシア・モスクワにあるとみられる有限会社のデジタル署名が付いていたことが判明した。
署名によってファイルの信頼性が担保され、一部のウイルス対策ソフトの検知を逃れられることがあるという。近年は偽のデジタル署名を付け、安全なファイルを偽装する手法が確認されており、今回も同様の手口を使った可能性がある。
今回のランサムウエアにはロシアやウクライナ、ウズベキスタンなど計12カ国の言語が設定されたパソコンでは感染しないようになっていた。一般的にサイバー攻撃で使用されるウイルスは、犯行グループの国を攻撃しないように設定されていることがあり、ロシアや周辺諸国の人物が関わっているとの見方もある。
「カプコン」に仕掛けられたサイバー攻撃は「機密情報」と「暗号化の解除」の双方と引き換えに、身代金を要求する「二重脅迫」と呼ばれる手口だった。近年は海外を中心に同様の被害が相次いでいる。
「ハローカプコン。全てのデータを暗号化した。そして日本、アメリカ、カナダのあらゆるサーバーにアクセスし、1テラバイト以上のデータを盗みとった。取引に応じなければ、データを公開したり、第三者に販売したりする」
2日未明、カプコンで社内システムの接続障害が発生するとともに、ウイルスに感染したパソコンには英語でこんなメッセージが表示された。
発信元はラグナ ロッカーを名乗る集団。三井物産セキュアディレクションによると、今年5月ごろから出現し、米国やポルトガルなどの海外企業を標的に攻撃を繰り返していた。
ラグナロッカーの手口はこうだ。遠隔操作ウイルスなどで企業のネットワークに侵入し、あらかじめ機密情報となるデータを抜き取った上で、サーバーにランサムウエアを送り込んでパソコンやサーバーのデータを暗号化。機密情報の公開中止と暗号解除の2つと引き換えに、身代金を追跡されにくい「暗号資産(仮想通貨)」で要求する。
この二重脅迫の手口をめぐっては、日本の大手企業が被害に遭ったケースはほとんど表面化していないが、海外では昨年ごろから確認されるようになっていたという。
今回も、ラグナロッカーは9日に、特定のソフトを使わなければアクセスできない「ダークウェブ」上に発表した英語の声明文で、身代金を要求。カプコンは応じず、11日に会社の売り上げや従業員の給与などの情報が流出した。
カプコンは被害について大阪府警に相談しており、広報担当者は「多大なるご迷惑をおかけし、おわび申し上げる。警察や専門機関と連携し、管理態勢の強化に努めていく」としている。カプコンの情報流出に関する問い合わせ窓口は0120・896680(午前10時~午後8時)。
「ランサムウエア」は、英語で身代金を意味する「ランサム」と「ソフトウエア」を掛け合わせた名前のウイルス。以前は個人や法人の区別なく標的とするケースが目立ったが、最近は高額の身代金が見込める法人が狙われている。
セキュリティー会社「トレンドマイクロ」によると、国内法人の被害報告件数は、今年1~9月で61件と前年同期の約1・5倍に増加。トレンドマイクロの広報担当者は「テレワークの拡大で企業のネットワークは外部との接点が増えるため、今後はさらにセキュリティーを強化する必要がある」と指摘。立命館大情報理工学部の上原哲太郎教授は「ネットワークにウイルスに侵入されたとしても、すぐに気づけるような態勢を作っておくことが大切」とした上で、「仮に身代金を払っても犯行グループがデータを消す保証はない。毅然(きぜん)とした対応で犯罪者に付け入らせないようにすべきだ」と話している。(木下未希、江森梓)