KADOKAWAを攻撃し、身代金を要求したBLACKSUITSの手口とは

6月の下旬に、大手出版企業であるKADOKAWAが、ロシアのハッカー集団であるBLACKSUITSからハッカー攻撃を受けました。

それに対して、カドカワの代表である夏野剛氏は、いかなる犯罪行為や、身代金の要求にも応じない事を明らかにしています。ですが6月の22日には、298万ドル（約4億7000万円）相当のビットコインの支払いをBLACK SUITS側に行なっているとの極秘文書が露呈しています。世界でも1800億円超のランサムウェアによる被害額が報告されている事から、密かに支払いが行なわれている可能性も否定出来ません。

KADOKAWAは様々な事業に参入

カドカワは近年、N高等学校など法人業にも進出し、その豊富な資金を利用して様々な事業へ力を入れています。BLACK SUITSはその多額の資金などを狙い、ランサムウェアを使った身代金の要求を行ったと見られています。 日本では、企業の機密情報を人質にとった身代金要求の犯罪は、過去にも数多く報告されています。しかしながら、我が国での身代金支払い率は世界で最下位といわれています。 こうした状況から、BLACKSUITSは多額の金を得る為、場当たり的に大企業にウイルスを撒き散らし、標的を探している可能性があります。リスクが低く、かつコストも最低限で大きい金額を得られる事から、ロシア情勢が絡んでいる事も否定出来ません。

BLACK SUITSとは

BLACKSUITSは、2023年に登場したランサムウェアを利用したサイバー犯罪グループであり、主に大規模な企業や中小企業を対象とした多角的な恐喝活動を行っています。このグループは被害者のデータを暗号化してアクセス不可にします。その内部の機密情報を公開データリークサイトに掲載することで、二重に身代金の支払いを促がす、劇場型と呼ばれています。

tripwire.comの国際的ハッカー集団に関する注意喚起や掲載情報によれば、悪名高いロシアハッカー集団である、Royalランサムウェアやその前身であるContiグループと関連しており、再編成したのではないかと言われています。

劇場型によるハッキング要求

SUITSのハッキング手法は、WindowsおよびLinuxオペレーティングシステムを対象として、フィッシングメールや悪意のあるトレントファイルを介して配布されます。配布されたランサムウェアは、OpenSSLを利用したAES暗号化を使用し、非常に迅速にファイルを暗号化します 。 暗号化したファイルに “.blacksuit” という拡張子を追加し、デスクトップの壁紙を変更し、身代金要求メモ“.txt”を残します。シンプルな手口ですが、中身は非常に強固なもので、今のところ復号ツールは存在しません。そして劇場型と呼ばれる、巧みな心理作戦によって、一度支払いを行なった企業に対し、「支払いを行なった証拠」や「SNSを利用した機密情報の少量リーク」などによって二重で支払いを要求してきます。この主な手法がBLACK SUITSの手口とされています。時には、支払いを渋り続ける企業に対して、大々的に情報漏洩サイトを立ち上げて、書き込むなど、大胆に攻める事もあります。

bleepingcomputer.comによる、サイバー犯罪に関する被害掲載情報によると、BLACKSUITSは、特に医療、教育、情報技術、政府、小売り、製造業などの重要な産業を攻撃しており、最近ではCDK Globalへの攻撃で大きな影響を与えました。この攻撃により、北米全土の自動車ディーラーの業務が停止する事態となりました。