カリフォルニア大学サンフランシスコ校(UCSF)がランサム交渉の結果、身代金を支払ったとBBCにスクープ記事が出ていました。
www.bbc.com
公式発表
調査は継続中ですが、現時点では、マルウェアがサーバーを日和見的に暗号化しており、特定の領域は標的にされていないと考えています。攻撃者は、身代金支払いの要求に使用するために、彼らの行動の証拠としていくつかのデータを入手しました。調査は継続中ですが、現時点では患者の医療記録が公開されたとは考えていません。追加の事実が判明した場合は、さらなる更新を提供します。
暗号化されたデータは、公共の利益をもたらす大学として私たちが追求するいくつかの学術研究にとって重要です。したがって、暗号化されたデータのロックを解除し、取得したデータを返却するツールと引き換えに、マルウェア攻撃の背後にいる個人に身代金の一部、約114万ドルを支払うという難しい決定をしました。
(公式発表より引用)※機械翻訳
キタきつねの所感
ランサム攻撃を受けた6/26の続報で、カリフォルニア大学サンフランシスコ校(UCSF)は、約114万ドル支払う決定をしたと公表しています。
BBCの何がスクープだったのかと言うと、ランサムオペレータ(ハッカー)との交渉経緯が詳細に書かれている所です。
この交渉部分、中々表に出てくる事がありません。しかしセキュリティ関係者であれば、知っておくべき内容でもあると思います。
※以下BBC記事から交渉内容を一部引用します。
ランサムに残されたリンクを辿り、DarkWebのホームページに行くと、一般ビジネスと同様にライブチャットでランサムオペレータ(ハッカー)と会話が出来るカスタマーサービスが提供されており、そこでの会話は以下の内容だった様です。
【Operator】: ’Hi UCSF, don't be shy we can work together on the current incident'
(こんにちわUCSF、シャイにならないでこの事件について一緒にやっていきましょう)
まず大学側は、ランサムオペレータの公開ブログに掲載された、UCSFの情報を(一時的に)削除を要請して、了承されます。
※本物のハッカーと交渉している事がここで大学側も分かった事になります。
大学側は、ランサムオペレータの要求するランサム(身代金)300万ドルについて、(おそらくUCSFが雇ったプロの交渉人が)コロナウィルスで大学の財政が厳しい事を訴えて、78万ドルの減額を訴えます。
ランサムオペレータは、『額が低すぎる』と拒否します。
【Operator】: 'How can I accept $780,000? Is like, I worked for nothing. You can collect money in a couple of hours. You need to take is seriously. If we'll release our blog, student records/data, I am 100% sure you will lose more than our price what we asked. We can agree to a price, but not like this, because I'll take this like an insult'
(どうすれば$ 780,000を受け入れることができますか?まるで、私は何もしなかったようです。数時間でお金を集めることができます。あなたが取る必要があるのは真剣です。私たちがブログ、学生の記録/データをリリースする場合、私たちが求めた価格よりも多くを失うことになると私は100%確信しています。私たちは価格に同意することができますが、私はこれを侮辱のように取るので、これは好きではありません。)
UCSFは、学内に持ち帰り、何とか集めて102万ドルまでなら払えると再交渉しますが、ランサムオペレータ側は、年間40-50億ドルも稼いでいる大学なのだから、150万ドルは払えるはずだと突き返します。
【Operator】:’I spook with my boss. I sent him all messages and he can't understand how a university like you: 4-5 billion per year. Is really hard to understand and realized you can get $1,020,895. But ok. I really think your accountant/ departments can get $500,000 more. So we'll accept $1.5m and everyone will sleep well.'
(「私は上司とびっくりしました。私は彼にすべてのメッセージを送信しましたが、彼はあなたのような大学を理解できません。本当に理解するのは難しいですが、1,020,895ドルを獲得できることに気づきました。でも大丈夫。あなたの会計士/部署はさらに50万ドルを稼ぐことができると思います。したがって、150万ドルを受け入れれば、誰もがよく眠れます。」)
数時間後に、(さらにかき集め)、UCSF側は114万ドル(116.4BTC)を申し出ます。
【Operator】: 'Ok good. Now you can sleep well; D When can you pay?'
('ようし。いいぞ。今、あなたはよく眠ることができます。 Dいつ支払うことができますか?」)
これがランサムオペレータ側にようやく了承され、復号化ソフトウェアがUCSFに送信された様です。
※BBCの記事では、もう少しオペレータ側とのやり取りが細かく書かれていますが、流石に引用の範疇を超えていると思いますので、興味ある方は元記事(英語)をご覧ください。
このBBCの記事、私は勉強になったのですが、海外セキュリティ専門家の中ではこうした記事を出す事について賛否両論があります。
今回のリークについて考えると、UCSF(大学)側が、今回のランサムオペレータとの交渉経緯を発表したいか?と考えると、恐らく発表したくなかっただろうと思います。
UCSF側の内部漏洩の可能性が無い訳ではありませんが、私はランサムオペレータ側がBBCにリークしたと推測します。
別な記事を読むと、BBCへのリークが、ランサムオペレータ側の宣伝手法とも考えられる様です。(それを更に記事に書いている私も同罪なのかも知れませんが・・・)
ジャーナリストの注目を集め、被害者にスポットライトをあて、他の人に支払いを迫る見出しを集めることを期待して、漏えいしたデータのスニペットを投稿し、非協力的な被害者について怒鳴るクリアネットとダークネットのブログさえ確立している人もいます。
(The register記事より引用)※機械翻訳
この事件記事を直接指していた訳では無い様ですが、米国の著名なセキュリティ専門家の1人でもあるKrebs氏は、リークを報じる事で、ランサム側の宣伝になってしまう事について、警鐘を鳴らす記事を7/1に出しています。
krebsonsecurity.com
こうした視点、懸念もきちんと意識しながら、私も記事を書くべきだと改めて感じました。
余談です。Krebs氏の記事のコメント欄が(いつも通り)今回も白熱していました。Krebs氏がセキュリティ業界で中心的な役割を果たしているのは、プロが議論できるブログのコメント欄を長年提供し続けて、コミュニティをリードしている所にあるのかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴