RansomHouseのバグバウンティのような攻撃
いろいろな思想の集団があります。
悪事によってお金を得ようとするもの、悪事を暴いたり悪事が成り立たなくすることで対価を得るもの、があります。
一風変わった集団が確認されています。
こんな感じです。
- 名称はRansomHouse
- 入口は脆弱性
攻撃は脆弱性を悪用して実施されます。 - ランサムウェアを使用しない
攻撃活動の中でランサムウェアを使用しないことが方針となっています。 - レポートの販売
脅迫を実施します。
しかしその脅迫は異色です。
RansomHouseは被害者からデータを盗み、盗んだデータを削除します。
そして、盗む際に悪用した脆弱性とその方法に関する完全なレポートを提供することを提案するのです。
提案といっても被害者の立場で考えると提案ではありません。
バグバウンティプログラムというものがあります。
バグバウンティプログラムとは、バグハンターがセキュリティテストを行い悪意あるハッカーが、システムに侵入する可能性のある脆弱性を探します。
バグバウンティプログラムを実施する企業はバグハンターに、発見された脆弱性の重大度や数に応じて、あらかじめ定められた報奨金を支払います。
RansomHouseの実施している行為は一見するとバグバウンティに見えなくもありません。
しかし事前の取り決めなどはなにもありません。
勝手に攻撃して勝手に被害を出し、勝手にレポートを作って報奨金を要求します。
これはもはや報奨ではなく恐喝です。
いろいろな組織がバグバウンティを実施しています。
バグ報告を受け付けているからバグを発見し報告します。
バグ報告者の想定通りに報奨金が支払われるケースももちろんあるでしょう。
しかし、なかにはバグを報告しても報奨金が支払われないケースもあります。
他の誰かがすでに同じ報告をしていた、報告内容が十分に精細でないため情報価値が低く見えた、報告内容が正しくなくバグではなかった、単に支払いたくない。
最後の理由はあってはならないものに思いますが、支払われない理由には多くのパターンがありそうです。
本当にホワイトハッカーとして生計を立てていこうとしていたのに報われないことに腹をたてた人たちがこの集団を形成しているのかについては実際はわかりません。
しかし、わたしたちはわたしたちの使っているシステムを安全な状態に保つ努力を継続していく必要があることを再度確認する必要がありそうです。
参考記事(外部リンク):Threat profile: RansomHouse makes extortion work without
ransomware
blog.malwarebytes.com/cybercrime/2022/05/threat-profile-ransomhouse-makes-extortion-work-without-ransomware/
