分業化されてますます危険となったサイバー攻撃
一方、ダークサイドは、政治的な関係を否定している。
旧ソ連圏諸国の政府などとのつながりを知られたくないのだろう。しかし、彼らが「完全に」独立して活動し、かつ政治的な意図を持たずに活動することはまずあり得ないだろう。最終的には旧西側諸国が様々なダメージを受ける可能性がある。この点には要注意である。
米ボストンのサイバーセキュリティー会社であるサイバーリーズンによると、ダークサイドは2020年8月に初めて確認されたという。攻撃対象の情報システムのデータを暗号化して流出させ、身代金の要求に応じなければ公開すると脅迫する手法を用いている。これは、従来のランサムウェアと同じやり口である。わかりやすいといえる。
しかし、今回のケースでは、やや珍しいパターンを用いているという。つまり、ダークサイドはハッキングツールの開発に特化し、サイバー攻撃はツールの販売先となる「パートナー」と呼ぶ外部ハッカーに委ねているのである。まさに「分業」である。しかし、分業をすれば、それだけ情報が漏れだすリスクもある。
このような手法は、専門家の間では、業務ソフトの販売手法である「ソフトウェア・アズ・ア・サービス(SaaS)」に似ていることから、「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれているようである。いろいろな呼び方があるものである。
やっかいなのは、このRaaSのサービスが登場したことで、技術面に精通していないハッカー集団がサイバー攻撃を仕掛けることが可能になったという点である。こうなると、技術を持つ一般の技術者も金に目がくらんで、サイバー攻撃を行う組織の手助けしながら、継続的な収益を得ることができることになる。これは非常に危険な構図である。
身代金の一部を寄付?ビジネスライクなハッカー集団
さて、今回のダークサイドはランサムウェアの販売先に、大企業のみを攻撃対象として病院や学校、非営利団体などへの攻撃を禁止しているとされているようである。
また、分業体制は多岐にわたっており、被害者との交渉窓口も用意しているという。さらに、身代金の一部を慈善事業に寄付しているとしている。
どこまでが本当かはまったく分からない。
また、今回の攻撃により発生した被害が甚大であることに身の危険を感じたのか、声明では「節度ある行動を取り入れる」とし、やや反省めいた言葉を発している。そのうえで、攻撃する相手を事前に確認することで、将来的に社会的な影響が出るのを避けるとしている。
これは、国家単位で調査されたときに、摘発されて活動が停止することを恐れたことが背景にあるのだろう。いずれにしても、このダークサイドは、ビジネスライクな組織であり、ハッキング行為はサービスとして提供され、収益が開発者と実行犯の間で分配されるという、新しいパターンのランサムウェアである。