昨年はランサムウェアが暴れ回り、米国最大の石油パイプラインを止めたり、ブラジル食肉大手の業務を妨害した。日本でも徳島の半田病院の電子カルテシステムが止められ、長期間診療が制限された。今年になってからも、トヨタ自動車の大手取引先の受発注システムが停まり、病院等の被害も相次いでいる。
ランサムウェアは文字通り「身代金」目的、犯行動機はカネとはっきりしている。しかし今年初めから(再)流行し始めた「Emotet」については、その流行の理由が良く分からない。「Emotet」は情報窃取型のウイルスで、情報を抜いて次に何をしたいのかが分からないと流行の理由も説明できない。特に脅威インテリジェンスのうちでも最上位にある「誰が、なぜ」攻撃してくるのかについて、いろいろな人に聞いてみたが満足できる回答は得られなかった。
脅威インテリジェンスの3階層(後編) - Cyber NINJA、只今参上 (hatenablog.com)
「Emotet」被害は、3月をピークに4月には減少していた。しかし5月にはまた増加し、新たに「Google Chrome」に記憶されるクレジットカード情報を窃取する機能も確認されたという。それなら金銭目的なので、再々流行もむべなるかなと納得しかかっていた。
ところが先日、以前から方々に「なぜ再流行?」との疑問を投げていた僕にヒントが届いた。海外のインテリジェンスに詳しい人物からのもので、興味深い仮説を聞けた。彼によると、
・3月までのものはわからないが、5月以降の流行はロシアによるもの
・2月のウクライナ侵攻以降、ロシア制裁に加わった国に対して行われている
・もちろん2月以前に仕込んでいて、そろそろ蔓延し始めたのだろう
・重要インフラなどを対象にした社会混乱をきたす攻撃のための情報窃取
・インフラシステムの管理者権限など、本格的な攻撃に使える情報を狙っている
とのこと。この仮説が正しいとすると、ウクライナ紛争が長期化する現状では、この夏以降電力などの重要インフラを狙ったロシアからの攻撃がある(あり得るではない)ことになる。
日本政府はこういう脅威インテリジェンスをもっているのでしょうか?持っていても、セキュリティ・クリアランス制度のない日本では、民間企業には教えてくれないでしょうね。残念ですが・・・。
