ランサムウェアの被害を受けた大学とハッカーの間で行われた「身代金交渉」の様子とは？

感染したコンピューターのシステムを暗号化し、復旧するための解除キーと引き換えに身代金を要求するランサムウェアによる被害は、病院や自治体など幅広い企業や機関で確認されています。海外メディアのBloombergが、カリフォルニア大学サンフランシスコ校(UCSF)のサーバーをランサムウェアでロックしたハッカーと、UCSFが用意した「交渉人」との間で交わされた身代金交渉の様子を報じています。

UCSF Hack Shows Evolving Risks of Ransomware in the Covid Era - Bloomberg
https://www.bloomberg.com/news/features/2020-08-19/ucsf-hack-shows-evolving-risks-of-ransomware-in-the-covid-era

2020年6月1日、UCSFの疫学および生物統計学部門で使用されているサーバーがランサムウェアの攻撃を受け、データにアクセスできない状態となってしまいました。ハッカー側はわずか7台のサーバーを使ってデータを暗号化し、少なくとも20GBものデータを盗み出していたとのこと。

ハッカーはUCSFに対し、データを復旧するための解除キーを提供する代わりに300万ドル(3億2000万円)もの身代金を要求。UCSFは身代金をそのまま支払うことも、支払いを断固拒否して交渉を打ち切ることもせず、民間の「交渉担当者」を雇って交渉に当たることにしました。ランサムウェア攻撃を受けた企業や機関が専門の交渉担当者を雇い、データの安全を保証させつつ、少しでも身代金を減額するように譲歩を求めるというケースは少なくありません。

UCSFの交渉担当者は6月5日からハッカーが用意したチャットルームに入り、ハッカーとの身代金交渉を始めました。Bloombergが入手したのはこの交渉履歴であり、ハッカーの要求やそれに対する交渉担当者の返答などが確認できるそうです。なお、UCSFはハッカーの身元について言及していませんが、ハッカーが使う英語には「ロシア語を母語とする人物に特有のクセ」がみられたとBloombergは指摘しています。

交渉担当者がチャットルームに参加した時点で、ハッカーが提示した身代金の支払期限まで「2日と23時間」だったとのこと。この期限を超えると身代金の要求額が2倍になるとハッカーは主張しており、期限が過ぎる前に身代金を支払うように要求していました。

まず交渉担当者は、ランサムウェアが攻撃した部門が新型コロナウイルス感染症(COVID-19)の治療法やワクチン開発を支援していたと述べ、研究者らはデータを適切にバックアップする時間も作れなかったことをほのめかしました。さらに、UCSFはCOVID-19の研究に多額の資金を費やしていることに加え、都市封鎖による授業の中断も大学の負担となっており、身代金を支払うことは困難だと訴えたそうです。

しかし、UCSFに攻撃を仕掛けたハッカーは交渉担当者の訴えを意に介さず、年間70億ドル(約7400億円)を超える収益を上げている大学にとって、数百万ドル(数億円)の身代金は大した負担ではないと返答。実際に盗んだデータの一部を提示した上で、「我々が学生の記録やデータを公開した場合、要求している身代金以上のものをあなたたちは失うと100％確信しています」と述べました。

なお、Bloombergが入手したチャットは全て「交渉」の過程であり、ハッカーはもちろんUCSFの交渉担当者の発言も、全てが事実とは限りません。交渉担当者が述べた「攻撃を受けた部門はCOVID-19の研究を行っており、データのバックアップが不十分だった」という内容も、事実だったかどうかは不明確です。

残り時間が2日と22時間31分になった時点で、UCSFの交渉担当者は全ての決定を行う大学委員会を招集する必要があると訴え、身代金の支払期限を2日間延長することを要求しました。ハッカーはこの要求をのみ、身代金の支払期限を延長したとのこと。イスラエルのランサムウェア交渉者であるMoty Cristal氏はチャットの履歴を見て、「今回のケースではハッカーが会話を楽しんでいました。ゲームの一部だったようです」と述べています。

一見すると、身代金の支払期限を延長することは被害者側にのみ利益があり、ハッカー側に利益がないように見えます。しかしCristal氏は、支払期限の延長によって「ハッカー側も盗み出したデータを調査できる」という点を指摘。盗み出したデータの中に最重要レベルの機密が含まれていれば、もっと身代金を増額しても相手は要求をのむだろうと確信し、交渉を有利に進められてしまう危険もあるそうです。

今回の交渉全体を通して、UCSFの交渉担当者はハッカーに対して丁寧に接し、時には賛辞を送ることもあったとのこと。「私はあなたと一緒に問題を解決するつもりですが、それには相互の尊重が必要です。そうでしょう？」などと、交渉担当者はハッカーに丁重に語りかけることすらありました。実際にこの対応は効果的だったそうで、ハッカーは交渉担当者に「我々は敬意を持って接してくるクライアントを決して軽視しません」と答えました。

やがて交渉担当者は大学委員会の決定が下ったとして、最大で78万ドル(約8200万円)の身代金を支払うことができるが、その半分の39万ドル(約4100万円)が現実的なラインだとハッカーに提案しました。ハッカーはこれを非常に侮辱的な提案だと一蹴し、UCSFの学生や教職員のデータを連邦取引委員会(FTC)に送る選択肢もあると脅し、今度は真剣な提案をするようにと返答したとのこと。

ハッカーは盗まれたデータの中に、FTCが見るとマズいものが含まれていることを示唆しましたが、交渉担当者はこれをハッタリだと考えた模様。「私たちはFTCに関心はありません。ただデータを取り戻すために、コンピューターのロックを解除したいだけです。あなた方がこの交渉で多くのお金を稼ぎたいことはわかりますが、こちらにはそれほど多くの現金がないことを理解する必要があります」とだけ、交渉担当者はハッカーに伝えました。

その翌日、交渉担当者は前日と同額である78万ドルの身代金を再度提案しましたが、ハッカーは「その78万ドルは全従業員にマクドナルドを買うために取っておけばいいでしょう。申し訳ないが、我々にとってその金額は少なすぎます。どうしたら78万ドルなんて金額を受け入れられるのですか？これではただ働きです」と答えて拒否したとのこと。

この頃から交渉にはお互いの感情が入るようになっていたとのことで、交渉担当者は「私は交渉のおかげで数日間寝ていません。周囲にいる全ての人から『私のせいで失敗した』と見なされています」「お願いです、どうしたらいいんですか？」と主張。するとハッカーは、「私の友人よ、あなたのチームはこれがあなたの責任でないことを理解するべきです。インターネットにつながる全てのデバイスは脆弱なのですから」と返答しました。もちろん、交渉担当者やハッカーの言葉は交渉戦術に過ぎない可能性があり、交渉担当者が1人で交渉を続けていたとも限りません。

6月9日、UCSFの交渉担当者は100万ドル強(約1億1000万円)の身代金を提示し、ハッカーは150万ドル(約1億6000万円)を要求。交渉成立が近いと考えた交渉担当者は、「私が共有したかったいいニュースは、この問題を知った学校関係者が12万ドル(約1300万円)の支援を申し出ていることです。通常はこの寄付を受け入れることはできませんが、交渉を迅速に終えることに同意してくれたら、寄付を受け入れます。交渉を終わらせて、私たち2人もよく眠りませんか？」と提案しました。

ハッカーはこの提案を受け入れ、総額114万ドル(約1億2000万円)の身代金で交渉が成立しました。UCSFがビットコインで身代金を支払うと、ハッカーは解除キーを送った上で盗み出して手元に置いた全てのデータを送り返し、コピーは削除したことを示したとのこと。全ての取引が終了したのは6月14日の午前2時48分だったそうです。最後にハッカーは好奇心からか、「あなたはどの会社の人間ですか？」とUCSFの交渉担当者に尋ねたそうですが、交渉担当者はこの質問に答えませんでした。