FBIがロシアのスパイを逃亡寸前で止めた経緯は、ハリウッド映画の題材としても使えそうな内容でした。
jp.techcrunch.com
Elon Musk(イーロン・マスク)氏は、Tesla(テスラ)に対して試みられたそのサイバー攻撃を「深刻」と形容した。そのコメントは、同社がネバダ州リノの近くの巨大な工場で、結果的には失敗したランサムウェアのターゲットになったことを認めている。
司法省が米国時間8月27日に発表した訴状は、ネバダ州スパークスの某企業に対する事前に阻止されたマルウェア攻撃を記述している。テスラはスパークスに工場があり、バッテリーのセルやパック、そして電動モーターを作っている。訴状にテスラの名はないが、ElectrekやTeslaratiなどいくつかのブログがターゲットが同社だったと報告している。
(TechCrunch記事より引用)
米国司法省(訴状)
キタきつねの所感
最初にこの事件が報じられた際、つまりロシア人の容疑者(エゴール・イゴールヴィチ・クリウチコフ)が8/22にロサンジェルスで逮捕された際には、ネバダ州の企業が狙われたと報じられていたのですが、後からテスラの名前が出てきて、一斉に注目を集めました。
イーロン・マスク氏は、8/27にテスラの名前が出たTESLARATIの事件記事を受けて、「今回の事件が深刻な攻撃だった」と認めています。
この訴状がなかなか面白い内容でした。逮捕された容疑者と、テスラ社員だけでなく、背後のロシア側の犯罪グループや、FBIの動きも一部記載されていて、おとり捜査において、映画に出てくる様な心理戦が繰り広げられているのが感じられました。
この訴状内容を時系列にまとめてみると、以下の通りです(長いです)。
日時 |
出来事 |
2020/7/16 |
ネバダ州のテスラ工場勤務の従業員A氏が、WhatsAppを通じてクリウチコフ容疑者から連絡を受ける |
2020/7/28 |
クリウチコフ容疑者、米国に観光ビザで入国(ニューヨーク) |
2020/7/29 |
クリウチコフ容疑者、携帯電話を現金で購入 |
2020/7/30 |
クリウチコフ容疑者、サンフランシスコに飛行機で移動 |
2020/7/31 |
クリウチコフ容疑者、サンフランシスコでレンタカーを借り、ネバダ州リノへ移動、従業員A氏と会う |
2020/7/31~8/4 |
Western Villageホテル(リノ)に宿泊 |
2020/8/1 |
クリウチコフ容疑者、従業員A氏宅を訪問(1回) |
|
クリウチコフ容疑者、従業員A氏、A氏関係者2名でNevadacityにドライブ、夕食 |
2020/8/2 |
クリウチコフ容疑者、従業員A氏宅を訪問(2回) |
|
クリウチコフ容疑者、従業員A氏、A氏関係者2名でタホ湖にドライブ。集合写真に映るのをクリウチコフ容疑者が拒否 |
2020/8/3 |
クリウチコフ容疑者、従業員A氏を迎えに行き、食事→近くのバーへ(支払いは全てクリウチコフ容疑者) |
|
「グループとして」報酬として現金またはビットコインで50万ドル支払う用意がある |
|
マルウェアはThumbDrive(USBメモリ)、または電子メールの添付ファイルで提供する |
|
数日与えるので提案を検討して欲しい |
2020/8/7 AM3時 |
クリウチコフ容疑者→従業員A氏へWhatsAppメッセージ 「仕事が終わったら会いたい」 |
|
従業員A氏→クリウチコフ容疑者「5時に会おう」 |
PM5時頃 |
リノのガソリンスタンドの駐車場、クリウチコフ容疑者の車の中で打合せ
※FBIが監視
|
|
クリウチコフ容疑者、「DDoS攻撃」を隠れ蓑にマルウェアをインストールする攻撃を提案 |
|
従業員A、報酬額100万ドルを要求 |
|
従業員A、前金5万ドルを要求→クリウチコフ容疑者「検討する」 |
2020/8/16 |
クリウチコフ容疑者→従業員A氏へWhatsAppにて8/16打合せが打診されたが都合がつかず8/17に |
2020/8/17 |
リノのレストランで打合せ
※FBIが監視
|
|
過去のプロジェクトで600万ドル要求し、最終的に400万ドルが支払われたケースがある |
|
前金はウェブサイトにデポジットされる |
|
従業員A、現金受け取りの支援(仲介業者)の利用ができるか? |
|
クリウチコフ容疑者が現金化をサポートする |
|
マルウェアを作成したハッカーはロシア政府系銀行の行員で、25万ドル支払った |
|
マルウェアはテスラの為に設計された |
|
テスラからは400万ドルを受け取る見込み |
|
成功報酬はプロジェクト成功後、約10日で支払われる |
|
ビットコインの前金を支払う事、100万ドルを成功報酬として支払う事にグループは同意。 |
2020/8/19 |
クリウチコフ容疑者の車で、打合せ
※FBIが監視
|
|
クリウチコフ容疑者が従業員Aの携帯電話に "Tor Browser "をインストールし、(ビットコインの為に)ウオレットをセットアップしようとしたが、従業員A自身がセットアップすると主張 |
2020/8/20 |
クリウチコフ容疑者の車で、打合せ
※FBIが監視
|
|
クリウチコフ容疑者は翌日リノを出発する |
|
ビットコインの前金(1.1万ドル)が遅れているが、数日以内に振り込まれるので、入金されるまで携帯を機内モードにしておいて欲しい |
2020/8/22 |
クリウチコフ容疑者がロサンジェルスで逮捕 |
2020/8/27 |
イーロン・マスクCEOはテスラが攻撃対象だった事を認めるTweet |
従業員Aは、ロシア語を話す方だと報じられています。面識のないはずのクリウチコフ容疑者が従業員Aに何故WhatsAppで連絡を取れたかという部分については、共通の知人から番号を教えてもらったと、起訴状には書かれています。
まず気になった所が、米国に観光ビザで入ってすぐ「携帯電話」(SIMカード)を現金で購入している点ですが、この手の”犯行”を考えると当然の事かも知れません。
クリウチコフ容疑者は、サンフランシスコについて、すぐに従業員A氏に会いに行っており、8月2日~3日にかけて近く(100km以内の観光地等)を、従業員A氏の知人2名を含めてドライブに行っていますが、これは、恐らく従業員A(知人2名もテスラ従業員だったとの報道もあるので、もしかするとこの2名も)の人となりをチェックし、買収に応じてくれるかを見ていたのだと思われます。
また、スパイ映画的な所では、タホ湖(リゾート地として有名)に旅行に行っている際に「写真に撮られるのを嫌がった」という部分も、面白いです。
何度かの折衝の後、8/3になってクリウチコフ容疑者は従業員Aに対して、本題の買収(内部犯行)を持ちかけます。
次に会ったのが8/7ですが、この時点で従業員AはFBIの監視がついていますので、買収に応じない事を決めてFBIに通報したと思われます。
つまりクリウチコフ容疑者の「買収に応じそうだ」という観察が間違っていた事を示唆しています。
この全体交渉の随所で、クリウチコフ容疑者が(本来不要な)機密情報を漏らしている印象です。その行動は教育を受けた(はずの)スパイとして洗練されてない事を考えると、国家が関わった緻密なスパイ活動というよりも、ロシアの大手ランサムオペレータが送り込んできた下っ端エージェントという感じだったのかなと想像します。
8/7以降の打合せにはFBIが監視、盗聴している(おとり捜査に入っている)のですが、従業員Aも、FBIの指示だったかは分かりませんが、何か所かで問題のある行為(失敗)をしている様に思えます。
例えば、ビットコインの現金化の仲介業者を求めている(=現金化の仕方が分からない)にも関わらず、クリウチコフ容疑者のウォレットセットアップを「拒否」している点です。
また送金であったり、犯行詳細であったり、従業員Aは細かい視点で疑問をいくつもぶつけており、クリウチコフ容疑者の上位者の判断を何度も求めています。この辺りも、グループ側の警戒心を煽った可能性がありそうです。
成功報酬の前金(5万ドル→1.1万ドル)のビットコインが、最終的には「振り込れていない」状況にも関わらず、クリウチコフ容疑者が帰国する動きを出している事や、送金が完了するまで「機内モード」にしておく指示を出している事を考えると、この犯罪グループ(クリウチコフ容疑者を除く)は、8/20近辺で、計画の失敗(おとり捜査)を感づいていた可能性が高いと思います。
FBIと海外犯罪(ランサム)グループとの攻防を感じられる起訴状内容でした。
余談です。起訴状にあるこの部分なのですが、この被害者は海外記事のいくつかでは450万ドルの身代金を支払ったとされる、CWTと推定されています。
過去のプロジェクトで600万ドル要求し、最終的に400万ドルが支払われたケースがある
参考:
foxsecurity.hatenablog.com
同じ「グループ」が関わっていたという事を、クリウチコフ容疑者が話している事を考えると、CWTは同様な手口による「内部犯行」であった可能性も出てきます。
CWTは事件を受けて公式には何も発表していませんので、真偽のほどは分かりませんが、サイバー攻撃だけではないランサム攻撃グループの手口について、日本企業も十分注意しておくべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴