昨年から日本でも猛威を振るっているランサムウェアグループ、REvil(別名Sodinokibi)の構成メンバーに対するインタビューの動画が、Russian OSINTのYoutubeチャンネルで2020年10月に公開されました。Russian OSINTはロシア人のセキュリティリサーチャーが運営するYouTubeチャンネルで、サイバーセキュリティに従事する我々にとって興味深いテーマを取り扱っています。今回はランサムウェアグループの中でも特に活発な活動を継続しているREvilの実像に迫るリアルなインタビューであり、欧米のメディアではあまり見かけないテーマです。ランサムウェアグループのエコシステムの理解に役立ちますが、コンテンツは全てロシア語のため弊社のアナリストが日本語要約した内容を以下に記載します。

当記事のインタビュー部分は、Russian OSINTの承諾を得て動画を翻訳・要約したものです。弊社は該当のYouTubeチャンネルとは無関係であり、また、その内容の正確性及び安全性を保証するものではありません。よって掲載されている情報に起因して被った損害、損失に対して弊社は名目の如何を問わず一切の責任を負いません。

参照動画：https://www.youtube.com/watch?v=ZyQCQ1VZp8s

当記事とは別に、弊社がREvilに対して行ったインタビューについて今後レポートを掲載予定です。詳しくは以下NEWSをご覧ください。

【5月4日放送】NHKニュースで弊社がランサムウェアグループREvilに対して行ったインタビューが取り上げられました

インタビュー要約

問１　REvil あるいはSodinokibiとは、一体何なのか。ランサムウェアとは、攻撃が成功した場合に、身代金を受け取る目的で使われるものという理解で合っているか。　　　　　　　　
ーーーREvilあるいはSodinokibiは、C言語で作成されたランサムウェアだ。ランサムウェアは、ファイルを暗号化することで、ユーザーによるアクセスを制限する。攻撃を成功させるには、NASやテープといったバックアップファイルを削除するほか、できるだけ多くの情報をダウンロードすることも不可欠だ。暗号化そのものに対してではなく、ダウンロードされた情報の公表を阻止するために支払いがなされるケースが非常に多い。見習うべきではない例としてTravelex社が挙げられる（英国外貨両替大手企業。同社は２０１９年１２月にランサムウェアに感染したことを発表）。自分が記憶している限りでは、同社は我々から攻撃を受けた後に株価が急降下した結果、破産した（原文のままの表記。２０２０年７月、同社は債務の再構築を発表）。

問２　 REvilはRaaSモデル（ランサムウェアをサービスとして提供する活動形態）を利用していることが指摘されている。この契約に基づいて、ランサムウェアのアフィリエイト（実際に攻撃を担う人物またはグループ）及びデベロッパーは身代金を分け合っている。このような取り決めによって、デベロッパーは獲得した身代金のうち２０～３０％を、アフィリエイトは７０～８０％を受け取るというのは本当か。
ーーーその通りだ。主要な仕事をするのはランサムウェアを感染させる人物であり、ソフトウェア自体は単なるツールである。このような配分は妥当だと思う。

問３　 どのような点でREvilはWannaCryといった他のランサムウェアと異なるのか。
ーーーREvilは大衆向けではない。WannaCryは非常に愚かで、かつ管理不能な実験だった。大きな騒ぎを起こして、利益が１０万ドルにも満たないというのは滑稽である。
少なくとも、我々にはWannaCry のようなRCE（Remote Code Execution: リモートコード実行）を使ったエクスプロイト（脆弱性を利用した攻撃手段）がないため、ワームのように、外部ネットワークの他のパソコンに自動的に感染することはない。無論、我々のランサムウェアは、内部ネットワークでは最大限の効果を得るべく、全ての外付けの機器やシステムを攻撃する。

問４　どのような経緯でREvilが創設されたのか。
ーーー以前、我々はadvertsに似たようなランサムウェアを使っていたが、同ソフトウェアはなくなってしまった。我々はそのコードを購入し、我々の目的のために独自の製品を作り出した。

問５　その他のトップ5のランサムウェアと比較した場合、同ソフトの主な競争的優位点は何か。なぜ、あなた方のパートナーはあなた方を選ぶのか。
ーーー暗号化システムである。（その他のランサムウェア集団である）MazeやLockbitには、ECC（Elliptic Curve Cryptography: 楕円曲線暗号）やトリプルサーキット（ファイル・キー、システム・キー及びアフィリエイト・キー）がない。大方、我々が選ばれるのは、配分に関する正確な仕事、そして我々の技術のおかげだ。ランサムウェア開発において、 我々とMazeはトレンドの発信元である。我々は競合相手に対して中立に接しており、対話の窓は常に開かれている。１つの企業が、同時に２つのロッカーによって暗号化されることがよくある。交渉することができなければ、双方とも金銭を得ることができない

問６　「REvil」という名前の最初の「R」は何を意味するのか。 「Reborn（生まれ変わり）」を意味するのか。
ーーーそうではない。「REvil」 は「Ransom Evil」を省略したものだ。PresidentEvil（同グループのメンバーの１人と思われる。）のアイディアから着想を得た。

問７　REvilが起こした攻撃の中で、最も反響の大きかったものを３つ挙げるとすれば何か。
ーーーTravelex社（２０１９年１２月に攻撃確認）、Grubman Shire Meiselas & Sack事務所 （エンターテイメント業界に多くの顧客を持つ米国法律事務所。以下Grubmanと表記。２０２０年５月に攻撃確認。） 及び米国テキサス州の２３の地方自治体（２０１９年８月に攻撃確認）に対する攻撃だ。もう１つ反響の大きな攻撃があったが、まだ詳細を話すことはできない。この攻撃が、非常に大きなゲーム開発企業に関係していたとだけ伝えておく。

問８　（REvilが、Grubman事務所への攻撃で得られたトランプ米大統領に関するデータを公表すると脅迫したことに関し、）２０２０年５月、あなた方がトランプ米大統領に対して４，２００万米ドルを要求したと報じられた。また、あなた方が、同事務所がデータ保護のために使用していたECCを読解したとも報じられた。結局、これはどのような結末を迎えたのか。米国当局はあなた方と取引をしたのか。
ーーーそうではない。我々は、米国家安全保障局（NSA）、米シークレットサービス及び米連邦捜査局（FBI）が暗号化されたデータを解読できるよう幸運を祈っていた。我々が金銭を要求していたのは、トランプ大統領ではなく、Grubman事務所だった。データは購入されたが、誰が購入したかは言うことができない。データは、トランプ大統領の子会社による税金回避の様々なスキームに関するものだった。

問９　あなた方がダークネットフォーラムに寄付した額は100万米ドルだった（２０２０年９月、REvilは新メンバーのリクルートを目的としてロシア語話者のハッカーフォーラムに１００万米ドル相当のビットコインを預託した。）。あなた方にとってこれは大した額ではないだろう。もし可能であれば、２０１９年及び２０２０年におけるREvilの平均年収を教えてほしい。
ーーー１億米ドル以上である。ロシアルーブルに換算すれば、１０億ルーブル以上となる。

問１０　フォーラムが攻撃され、もしくはプライベートキーが盗難されることによって、100万米ドルが失われることを危惧していないか。あなた方自身、以前、欧米の特務機関があなた方を追跡していると示唆していたではないか。
ーーー我々はこれからもっと稼ぐだろう。お金とは、入ってきては出ていくものだ。

問１１　REvilのような成果をサポートするためには、どれ程の人数が必要か。１０人以上は必要なのではないか。
ーーーデベロッパーに関して言えば、１０人以下でも十分だ。しかし、（企業セキュリティの脆弱性の特定を行う）ペンテスターに関して言えば、１０人以上を要する。

問１２　なぜ、全て（攻撃、ネットワークの調査、暗号化、身代金の要求及びマネーロンダリング）を自分たちで行うのではなく、RaaSモデルを使うことにしたのか。
ーーー我々はどちらの方法も使っている。しかし、RaaSモデルの方が儲けを出し、最終的により多くの利益を出すことができる。

問１３　そのようなRaaSモデルは、より迅速にビジネスのスケールを拡大することが可能ということか。
ーーーその通りだ。

問１４　今日、パートナーに対してどのようなサービスの選択肢を提示しているのか。
ーーー交渉、組織に対する圧力及びソフトウェアそのものである。また、企業からの身代金の受領や、データ解読のためのツール提供も行う。


問１５　パートナーから接触があり、サービスを提供するように求められた場合、REvilを貸し出すことはあるか。すなわち、パートナーが、REvil内部がどのように組織されているかを知ることなく、準備された製品のみを使用するということはあるか。
ーーー我々は、交渉に基づいて、ソフトウェアとサービスを提供する。パートナーの主な目的はネットワークを感染させること、そしてバックアップ及びダウンロードのファイルを破壊することである。それだけである。我々はその他の全てのことをする。

問１６　組織が支払うと決めた場合、金銭はどのように分配されるのか。最初にあなた方が受け取り、その後に、パートナーに分配されるのか。
ーーー支払いはシステムによって自動的に分配される。しかし、言うまでもなく、最初に金銭が入るのは我々の財布だ。

問１７　これまでにパートナーと争いになったことはあるか。名前を挙げる必要はないが、１つだけ事例やその解決法について教えてほしい。
ーーー正直、思い出すことができない。我々には閉鎖的な集団がある。選択のプロセスは非常に厳しく、疑わしい、もしくは見慣れない候補者は、我々のコミュニケーションツールに加えることすらない。

問１８　中央情報局（CIA）、NSA,FBI、米シークレットサービスの中で、現在、あなた方を追跡しているのは誰か。
ーーー米シークレットサービス、欧州刑事警察機構及び世界中の情報セキュリティ企業である。このことに問題はない。このプロジェクトは、このような圧力を想定した上で計画されている。

問１９　NSAやCIAといった秘密機関がパートナーを装って接触してきた事例はあるか。
ーーーそういうことはあった。しかし、そのような人々は、旧ソ連諸国に共通な社会政治的な議論を通じたチェックで容易に特定され得る。中にはロシア語話者もいたが、この仕事に関する特定の側面に話が及んだ際に、その人物の回答はあてずっぽうだった。そのような場合、我々は即座に拒否する。

問２０　政府機関によってリクルートされたというような面白い経験はあるか。
ーーーリクルートについては承知していない。我々は政治に無関心だ。特務機関にとって我々から得られる実用的な利益があるとは考えられない。トランプ大統領の例に話を戻せば、我々が必要としていたのは金銭だけであり、政治ではない。我々にとっては、誰が次期大統領になろうか関係ない。我々はこれまで活動してきており、現在も活動しており、これからも活動を続けるだろう。

問２１　あなた方のパートナーが、あなた方を特定する目的で、フィッシング、マルウェアもしくはその他の方法で攻撃をしてきたことはあるか。
ーーーパートナーからの攻撃はないが、複数の情報セキュリティ専門家からは攻撃を受けたことがある。最も端的な例を以下に示す。
<script>alert('hello')</script>; and info.php as attachment in chat
我々への攻撃は日常的に行われている。実際のところ、よく分からないものを攻撃することは難しい。専門家らは、我々がサーバー上でどのようなシステム構成でどのようなＷＥＢサーバーを利用しているかさえも知らないと確信している。彼らは、ただ幸運を祈りながら試みているだけだ。我々の製品はこのようなスケールを想定した上で開発されており、このような試みを防ぐことができる。

問２２　著名な情報セキュリティジャーナリストであるBrian Krebs氏について、どのように考えるか。同氏は、あなた方について、どれ程正確に書いているか。
ーーー記事を読んだことがある。我々は、同氏に対して中立的な立場である。

問２３　（２０２０年９月、チリの大手銀行BancoEstado銀行が全ての支店を閉鎖することを余儀なくされたことに関して、同銀行の従業員が不審なファイルを開けたことがきっかけでマルウェアが仕込まれた等とする報道があると指摘した上で、）本攻撃を仕掛けたのはRevilだったという情報も報じられたが、これは事実か。
ーーーそれは事実であり、我々がその攻撃を仕掛けた。企業が攻撃元について口を閉ざすことはよくある。企業にとって評判は重要だ。特に、それは株価の値下がりに影響を与え得る。

問２４　最近、Tyler Technologies社（公共部門にソフトウェアを提供する米国プロバイダー企業）が、ランサムウェア攻撃を受けた後に身代金を支払った。身代金の額は約１，０００万米ドルであった。ランサムウェアグループが、大手情報企業のシステム脆弱性を利用したという他の事例を知っているか。情報セキュリティに対する少ない予算が、多くの損失を招くという例を挙げてくれないか。
ーーーGrubman事務所及びTravelex社が挙げられる。どちらの企業も、古いPulsar及びシトリックス・システムズの製品を通じて攻撃された。これはとても愚かなことだ。容易にパッチ可能な脆弱性を利用することで、我々はネットワーク全体に３分でアクセスすることができた。

問２５　大企業が、セキュリティの手抜きに対する非難を避けるために、マスコミに報道されることなく、あなた方と秘密裏で取引を行う割合はどれ程か。
ーーー全体の３分の１の割合だ。

問２６　攻撃が成功した場合、あなた方は、感染した企業との交渉をどれ程誠実に行うのか。企業が身代金の支払いに同意した場合、あなた方が金額を倍にして、再び身代金を要求することはないという確証はあるのか。
ーーー我々にとって評判は重要だ。評判は、支払いが成立する割合に影響を与える。我々はこれまでも、そしてこれからも詐欺をすることはない。これは原則である。支払いが成立する割合が低下すれば、人々は遠ざかる。このような仕事において、評判は最優先事項だ。

問２７　身代金を受け取った後、ファイルを解読できなくなったという事例はあったか。問題が生じてどうすることもできなくなったことがあるか。
ーーーあった。企業が、自分自身でデータを復元しようとした場合だ。ファイルが１ビットでも修正されれば、キーは失われる。特に、これはアンチウイルス関連してよく起こる。アンチウイルスは、キーが記載されたノートを削除してしまう。しかし、そのような事例は極めて稀だ。自分の活動期間で記憶しているのは計１２件だけだ。無論、そのような場合、支払いを受けたことはない。我々はノートに警告を記載している。企業がそれを読んでいないとすれば、我々の問題ではない。

問２８　現在、ランサムウェア攻撃にとって、どの産業に最もうまみがあるがあるか。
ーーーITプロバイダー、保険会社、法律事務所、そして製造（生産）業だ。おかしな話だが、製造（生産）業の中では、特に農産共同企業体にうまみがある。

問２９　被害者のシステムを攻撃するのは、あなた方自身ではなく、あなた方のパートナーだというのは本当か。
ーーー我々は独自のチームを持ってもいるし、パートナーもいる。そのどちらも活用している。

問３０　マイクロソフト社の最近の報告書によると、最も効果的なタイプの攻撃はRDPを使ったブルートフォース（総当たり攻撃）である。今後、手法や攻撃のベクトルが変化すると考えるか。
ーーーブルートフォースは既に２０年以上も存在しているし、今後も存在し続けるだろう。RDPは最良の攻撃ベクターであり、中でもBlueGateの脆弱性（未承認の攻撃者が、RDゲートウェイを使用することで、遠隔コード実行をすることができる脆弱性）は人気を集めるだろう。

問３１　現在、AndroidやiOSのランサムウェアは存在するか。これらを活用することに利益はあるか。例えば、携帯電話のデータを暗号化し、企業CEOのクラウド容量を暗号化するといったように。今後もこの方向性に進展はあるのか。
ーーーそのようなことをする人物は、完全な愚か者に違いない。自分は断固としてそれに反対である。AndroidやiOSは銀行分野での使用が理想的だ。ここで問題になるのは、一体何を暗号化するのかということだ。あなたが料理を食べている写真だろうか。確かに、それは大きな損害になるかもしれない。

問３２　以前、「MSF（Metasploit Frameworkのことかと思われる。）の無料版をダウンロードしたばかりの新入りが、我々の助けを得て、１か月後にはCS（Cobalt Strikeのことかと思われる。）に乗り換え、半年後には必要なゼロデイエクスプロイトを入手した。このような例は多くある。」という投稿がなされた。 この投稿から、あなた方には教育係のサポーターがいるなどのヒエラルキーがあり、正しく分業がなされているのだと理解するが、これは正しいか。本当に、新入りが、そんなに早く稼げるようになるのか。
ーーーサポーターが支援するのは、交渉段階に限られる。技術的な要素は、自分自身で学ぶことが求められる。早く稼げるようになるというのは確かだ。あるチームは、２～３万米ドルの身代金から開始して、半年後には、１件につき８００万米ドルの身代金を受け取った。我々にヒエラルキーはない。適格な分業と呼ばれるものはあるが、リーダーは存在しない。このインタビューに対する回答は、全て自分の個人的な意見である。我々は全ての決定を合議で下しており、自分はそれを高く評価し重視している。

問３３　　あなた方のような活動に従事する人物は、警察に逮捕された場合、どのような罰則を受け得るか。
ーーーランサムウェアの分野に関して言えば、冗談抜きで、自分は殺されてもおかしくないと考えている。このような活動に従事する人物は、米国などの国々に旅行することはない。我々に裁判で判決を下すことができないため、我々を殺害することも十分な選択肢となる。我々は深刻な問題を引き起こすが、我々を捕らえることはできない。罰則についていえば、終身刑２回分だろう。

問３４　NSAやCIAがあなた方を追跡していることが考えられるが、強い不安を抱く人々に対して、安全なコミュニケーションのためにどのようなサービスを推奨するか。TOXとJabber（いずれもメッセージングサービス）のどちらを推奨するか。
ーーーあなた自身のOSアセンブリ、例えばあなた自身が点検及びコンパイルしたJengaなどを推奨する。ソフトウェアに関しても同様である。強い不安を抱く人々には、分散を勧める。

問３５　Monero（匿名性の高い仮想通貨）は、今でも特務機関からの追跡を免れているのか。
ーーーそうだと考えている。Moneroは両替で受け付けられないことが多い。Moneroで多くの預金を所有することは、疑問を生じさせるだろう。そのため、Moneroは、送金手段に限って有益だと考えられる。

問３６　慈善活動に従事しているか。身代金の一部をTorプロジェクトや電子フロンティア財団といった慈善団体に寄付しているのか。
ーーーその可能性はある。

問３７　Naked Security社によると、あなた方は、企業のインフラを攻撃する際、エクスプロイトキット（様々な脆弱性に対応した攻撃プログラム）、インフラのスキャニング、ＲＤＰサーバー、バックドアを含む実行可能なファイル形式を好むようだ。これらの攻撃の中で、どのタイプの攻撃が最も効果的と考えるか。
ーーーRIGといった複数のエクスプロイトを使ってインフラに入り込む方法を知らない。この質問は少し奇妙だ。自分自身にとって最良の方法は、単純なStealer ソフトウェアを使ってシステム管理者から認証データを把握し、その組織のMSP全体へのアクセスを手に入れることだ。根拠なしにこのようなことを言っているのではなく、このようなケースは実際にあった。その組織は慎重で、数百万米ドルの身代金を支払った。また、自分はRDPエクスプロイトを好む。非常に重要な標的に対しては、スパム及び電話を好む。

問３８　２～３年後、ランサムウェア市場はどのように変わっていると考えるか。どのような世界的トレンドが予想されるか。
ーーー最大のトレンドは、暗号化ではなく、ファイルのダウンロードに移行しているということだ。暗号化は、単なる付属物だ。
個人的には、インフラに対するSunCryptのアイディアを気に入っている。それが、ファイル暗号化及びそれを公表する脅威と組み合わされば、プレッシャーは重大になるだろう。現在、我々はそのことについて考えている。

===================

動画の内容は以上です。弊社はその後、RussianOSINTの運営者にインタビューを行いました。どのようにREvilと接触を行ったのかなどを聞きました。ぜひ以下を併せてお読みください。

RussianOSINTインタビュー

テリロジーワークスでは、サイバーリスクに対応するソリューションを複数ご提供しております。Bitsightセキュリティレーティングでは、無料のサンプルレポートをご提供しています。ご所属組織のドメインに対してのレポートを発行いたしますので、簡易版ではありますが組織のサイバーセキュリティのパフォーマンスをスコアリングで確認することができます。詳しくは以下の記事をご覧ください。

【自社のサイバーリスクを無償レポート】BitSight セキュリティレーティングキャンペーン

Bitsight セキュリティレーティング簡易レポートのお申込み

Bitsightのセキュリティレーティング簡易レポートを無償でご提供いたします。
下記ボタンをクリックしてフォームよりお申込みください。

・レポートで評価を行う組織に所属する方からのお申込みに限らせていただきます。フリーメールアドレスや、評価対象以外のドメインのメールアドレスからのお申込みはお断りいたします。

・ボタンをクリックすると外部サイト（kairos3の登録フォーム）に移動します

Bitsight簡易レポート（無償）を希望される方はこちら