2024年08月15日 23時00分セキュリティ

ランサムウェア集団「LockBit」の管理者と親しくなりサイバー攻撃の詳細を引き出した方法をセキュリティ研究者が明かす

数々のサイバー犯罪に手を染めてきたランサムウェアグループ「LockBit」の管理者と独自に連絡を取り合いながら、サイバー攻撃の詳細情報を引き出すことに成功したという人物が、どのようにして管理者と親しくなったのかなどについて語っています。

How a cybersecurity researcher befriended, then doxed, the leader of LockBit ransomware gang | TechCrunch
https://techcrunch.com/2024/08/09/how-a-cybersecurity-researcher-befriended-then-doxed-the-leader-of-lockbit-ransomware-gang/

2024年2月、名古屋港のコンテナターミナルを業務停止に追い込んだり、航空宇宙機器開発のボーイングに対してサイバー攻撃を仕掛けたりしたことで知られるランサムウェアグループ「LockBit」の運営者が、アメリカ・イギリス・日本などの国際法執行部隊により逮捕されました。これに先立ち、LockBitのウェブサイトは国際法執行部隊により押収されています。

名古屋港攻撃疑惑の「LockBit」運営者2名を国際法執行部隊が逮捕し暗号化ファイルを無料で回復するツールを作成 - GIGAZINE

2024年5月6日、国際法執行機関はLockBitから押収したウェブサイトを更新し、LockBitの管理者の身元を明らかにすると発表しました。元LockBitのウェブサイトには、「LockBitSupp(LockBitの管理者)とは誰か」「何を学んだか」「LockBitハッカーがさらに暴露される」「私たちは何をしてきたのか」などと記されていました。

この投稿を見たサイバーセキュリティ企業・Analyst1の研究者であるジョン・ディマジオ氏は、「当局が特定したという人物は私が知っている人物と同一人物なのだろうか？」と思ったそうです。

ディマジオ氏は自身の身分をセキュリティ研究者ではなく「LockBitへの加入に興味を持つ新進気鋭のサイバー犯罪者」と偽り、長らくLockBitSuppと連絡を取り合い、独自に正体を突き止めることに成功していたと主張しています。

2024年8月に開催された「Def Con」の講演で、ディマジオ氏は自身がどのようにしてLockBitSuppから信頼を獲得したのかや、どのようにしてLockBitの作戦の詳細を入手することに成功したのかなどについて語りました。この講演を、ニュースサイト・TechCrunchのロレンツォ・フランチェスキ＝ビッケライ氏がレポートしています。

NEW: This is how a security researcher was able to befriend and then dox LockBitSupp, the founder and admin of the notorious ransomware gang. @Jon__DiMaggio says he figured out the identity of the hacker before the NCA and law enforcement revealed it. https://t.co/UiBfxKpzW6
— Lorenzo Franceschi-Bicchierai (@lorenzofb) August 9, 2024

ディマジオ氏は初めにLockBitSuppと直接関係を持っていると思われる人物と連絡を取り合いながらなりすましアカウントを作成。この段階での目標は、LockBitで何らかの経歴を持つサイバー犯罪者のなりすましアカウントを作成することだった模様。サイバー犯罪者のなりすましアカウントを作成することができれば、LockBitとその管理者に直接連絡を取る際に、より信頼されやすくなると考えたわけです。

ディマジオ氏は「なりすましアカウントを作成する上で重要だったのは、一見無関係に見える会話を監視することでした。彼らが警戒を解いて、他のハッカーと無駄話をしている時がまさにそれです。無駄話を聞くことで、彼らが好きなことや嫌いなこと、政治的見解などを知ることができました。彼らと直接かかわる前に、周囲の事情について把握しておく必要がありました。なぜなら、私がただこの仕事に飛び込んで、攻撃やその活動に関する質問をし始めたら、私が研究者であることがすぐにバレてしまうためです」と語っています。

ディマジオ氏は最初にLockBitに加わろうとした際には拒否されたことも明かしています。しかし、ディマジオ氏はLockBitSuppと会話を続け、直接友好関係を築くようになったことで、LockBitがどのような種類のサイバー攻撃を駆使しているのか、被害者とどのように連絡を取り合うのか、被害者企業にどのように身代金を設定するかなどを気軽に質問できるようになっていったそうです。

2023年1月、ディマジオ氏は潜入調査の中で入手した情報をレポートとしてまとめて公開しています。ディマジオ氏はこのリークにより自身が作成したなりすましアカウントとLockBitSuppとの関係は終わりだと考えていたそうです。しかし、LockBitSuppはなりすましアカウントとの関係を終わらせませんでした。ディマジオ氏はLockBitSuppについて、「私が知っている人物は、確かに金銭に動機づけられているものの、派手な人物ではなく、物質的なものに執着するとは思えないタイプの人物でした」「そのため、ハッキングフォーラム上で見せた態度や人格と、私が実際に直接話した人物との間には大きな違いがあるように感じました」と語っています。

その後、LockBitSuppはディマジオ氏をからかうためにハッキングフォーラム上で「ディマジオ氏がLinkedInにアップロードした写真」を使用し始めたそうです。これについて、ディマジオ氏は「LockBitSuppはまさにネコとネズミの戯れでした。正直に言って、LockBitは私と戯れるのが大好きなようでしたし、私も彼らと戯れることが大好きでした」と言及。

2023年8月、ディマジオ氏はX(旧Twitter)で「LockBitが隠している秘密を突き止めるために私が行った調査内容を公表されたくなければ8月15日までに1000万ドル(約14億7000万円)を支払ってください」と投稿しています。これについてディマジオ氏は「冗談だった」と記してます。

#LockBit, You have until 15 August to pay $10 million for my research conducted to infiltrate and identify the secrets you have been hiding. ALL AVAILABLE DATA WILL BE PUBLISHED! (in the #Ransomware Diaries Vol 3 -LockBit's Secrets!) Its time to pay!😛 pic.twitter.com/SAKty4SD6n
— Jon DiMaggio (@Jon__DiMaggio) August 3, 2023

この脅迫について、ディマジオ氏は「一部のサイバー犯罪者は私の脅迫を信じ、ばく露されるのではないかと心配していました」「LockBitSuppも動揺しているようでしたが、彼との連絡が途絶えることはありませんでした」と話しています。

その後、ディマジオ氏はLockBitSuppの特定に全力を注いでおり、研究者と共に情報提供を募りました。そして、匿名の人物から「LockBitSuppが使用しているというYandexのメールアドレス」を入手することに成功したそうです。その後、ディマジオ氏はLockBitSuppが「ドミトリー・ホロシェフ」という人物であることを特定しています。しかし、ディマジオ氏はこれが真実なのか確信を持てなかった模様。

このタイミングで国際法執行機関がLockBitから押収したウェブサイトを更新し、LockBitの管理者の身元を明らかにすると発表。ディマジオ氏はFBIに通報し、ホロシェフがLockBitの管理者であることを特定したことを伝えています。さらに、ホロシェフについて情報公開を待つべきかFBIに問い合わせており、FBIから待つように言われたそうです。

その後、アメリカ司法省はドミトリー・ホロシェフがLockBitの首謀者および管理者であると告発しました。これに続く形で、ディマジオ氏もホロシェフについて収集した情報をレポート形式で公開したそうです。

なお、ディマジオ氏は自身の活動について「ハッキングからデータを収集したりフォーラムに潜入したりするだけでなく、サイバー犯罪者のグループに潜入することで、セキュリティ研究者がサイバー犯罪者に関する情報を見つけ出す方法を示したいと考えました」と語っています。しかし、ホロシェフがディマジオ氏に対して報復を計画しているというウワサもあるため、「何かしらの報いを受ける可能性があることも研究者には理解してもらいたい」とも語りました。

この記事のタイトルとURLをコピーする