親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる

ロシアによるウクライナへの軍事侵攻が始まってから数日後、親ロシアの方針を掲げたランサムウェアグループ「Conti」の内部チャットログが盗み出され、ジャーナリストやサイバーセキュリティ研究者に送りつけられる事態が発生しました。Contiのチャットログを盗み出したウクライナのコンピューター研究者が、海外メディアのCNNのインタビューに応じています。

'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang - CNNPolitics
https://edition.cnn.com/2022/03/30/politics/ukraine-hack-russian-ransomware-gang/

2022年2月末、Contiのリーダーは「ロシア政府を正式にサポートする」という方針を発表し、ウクライナに対するサイバー攻撃を支援するほか、ロシアに対するサイバー攻撃を行った組織に反撃することも表明しました。ところが数日後、親ウクライナ派の何者かがこの声明を「いかなる政府とも手を組まない」「現在進行中の戦争を非難する」と書き換え、2021年1月29日～2022年2月27日の全チャットログをジャーナリストやサイバーセキュリティ研究者に送りつけました。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE

流出したチャットログには、Contiの工作員がロシア連邦保安庁(FSB)を含むロシアの政府機関と接触していたことを示唆する証拠も含まれており、ロシア政府がサイバー犯罪者と共謀しているのではないかという長年の疑惑を支持するものとなっています。CNNはこのチャットログ流出を実行したウクライナのコンピューター専門家に接触し、インタビューに成功しています。

「Danylo」という偽名を名乗ったこの人物は、サイバーセキュリティ研究者として長年働いており、ヨーロッパの地下サイバー犯罪経済を研究してきたとのこと。Danylo氏は、後にContiとなるグループによって使用されるコンピューターシステムには2016年に初めてアクセスしたそうで、具体的な手法は明らかにしなかったものの、「時々彼らはミスを犯します」「彼らがミスを犯した時にキャッチしなくてはなりません。私は彼らを監視していたので、ちょうど適切なタイミングで適切な場所にいました」と述べています。

それから数年にわたりDanylo氏はハッカーたちのコンピューターサーバーに潜んでおり、グループの運営に関する情報をヨーロッパの法執行機関に伝えていたそうです。しかし、2月25日にContiがロシア政府に対する支持を表明したことでDanylo氏は方針を変え、Contiのデータを広く流出することに決めたとのこと。CNNのインタビューに対し、Danylo氏は方針転換の動機を「やつらがクソであることを証明するため」と笑いながら話し、当時は軍の検問所をナビゲートし、タバコを探し、次の空襲に備えて空を見上げる長い1日に疲れ果てていたと答えました。

Danylo氏によると、Contiのデータを流出させ始めてから、アメリカ連邦捜査局(FBI)から連絡があり、流出をやめるように頼んできたとのこと。これは、データ流出に対応してContiがコンピューターシステムを変更し、FBIが追跡しにくくなる可能性があるという理由でした。記事作成時点では、Danylo氏はContiのデータ流出をストップしているそうですが、依然として複数のContiのコンピューターシステムにアクセス可能だそうです。

CNNが話を聞いたアメリカの法執行官は、「(Danylo氏がやったように)情報を公にするのは向こう見ずです」「法執行機関と協力することで、Contiのようなグループを運営を混乱させる上でより実質的かつ永続的な影響を与えることができます」と述べています。一方、オランダ警察の元サイバー犯罪捜査官であるJohn Fokker氏は、「リークで提供されたデータの量が豊富なので、法執行機関が主要人物の起訴状を書くために必要な情報を得たと確信しています」と述べ、サイバー犯罪者を追う警察官には役立つ可能性があると主張しました。

ウクライナが重要インフラの保護やロシア軍へのスパイミッションに従事する「IT軍」を設立した前後には、ロシア政府機関などのウェブサイトがダウンしたことも報じられるなど、今回の戦争ではIT専門家も自分たちの役割を果たしています。Danylo氏も戦争の初期は防空壕(ごう)にノートPCを持ち込み、Contiのデータ流出に取り組んでいたとのこと。それから数週間も戦争を生き延びた後、今週になってようやくノートPCを持ってウクライナを脱出できたそうです。

Danylo氏はCNNに対し、「これは私の仕事です。私がそれをできるからやるのです」「私は銃撃こそできませんが、キーボードとマウスで戦うことはできます」と語っています。