[レポート]国際的なランサムウェア事件の捜査解説、REvilの実例 – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

国際的なランサムウェア事件の捜査解説、REvilの実例

本講演では、数カ国で行われたランサムウェアによる恐喝の加害者に対する国際的なサイバー捜査について分析する。 この捜査は、数カ国の警察当局、軍、民間企業によって、初めてハック・バック技術（おそらく）を用いて実施された。 本講演では、オープンソースに基づき、サイバーセキュリティの地政学、コンピューター・フォレンジック、コンピューター犯罪の擁護といった重要な問題を浮き彫りにしている。

議論されるトピックの一部： 警察のサイバー捜査における軍隊の関与 ハック・バックによって得られた情報の法的価値 軍や情報機関が使用する手法がサイバー犯罪事件のデュープロセスに与える影響 米国で引き渡された犯人とされる1人の起訴状とロシアでの他の容疑者の告発に基づく裁判の弁護戦略 結論： REvil事件は、サイバー犯罪の捜査における悪しき慣習の一例 攻撃的なセキュリティの使用は、報復行為に当たるため、警察の捜査とは相容れないものであり、検察はこれを行うことができない 捜査に関する文書がないことは、防衛権や正当なプロセスに違反する可能性がある 国家の安全保障に不可欠なパートナーとして民間技術産業の役割を確認する

Presented by : アンドレア・モンティ - Andrea Monti

レポート

• 自己紹介
  • イタリアの弁護士
  • 大学でデジタル法について教えている
  • 公共政策などについて執筆してきた
  • 企業の刑事責任についても
  • 国内や海外で講義している
• ハッキングから犯罪
  • ハッキングのエコシステムは天才を中心とした一連のサークルで描ける
  • ツール作成者
  •  周囲にはただツールを使う素人もいる
    • 伝統的な分類
  • 犯罪者の地下組織
    • 切り捨てることのできる人を雇う
  • 伝統的な捜査手順
• REvilについて扱う
  • 手口の分析
    • Ransomware-as-a-Serviceプラットフォーム
    • GandCrabの反復であると考えられる
    • 身代金や相手とやり取りする
    • 実行者と引き出す人に関連性はない
    • ロシア語圏を示唆する情報がある
    • 開発者はマルウェアのライセンスを提供
    • アフィリエイトがクラック
    • このプラットフォームのビジネスモデルは収集した金銭の一部をもらうこと
    • ターゲットはほとんど大企業
    • マルウェアの起源がロシア
    • ロシア語だと攻撃を免れている
    • ロシア当局の捜査を受けにくくしていると言える
  • もう少し踏み込む
    • 米国政府からも注目されている
    • わかっているのは従来の警察や法執行機関の捜査ではない
    • ロシアに政治的圧力をかけ捜査に直接関与している
    • 国務省は一貫した報酬を提供
    • 軍と諜報機関は捜査に関与
    • 国家安全保障に関係する事件と判断されればこう動ける
    • 捜査はFBIを通じて司法省が行っている
    • ランサムウェアのプラットフォームにハッキングをする
  • 国際捜査
    • 欧州諸国
    • 太平洋地域
    • オーストラリア
    • ポーランドで起こったように現地当局に身柄引き渡しを要求するなど連携
    • ユーロポールは相互作用の問題を扱う
  • 成果
    • 裁判についての決定的な情報はない
    • 追跡可能な結果として、ポーランド当局がロシア語を話す男を逮捕
      • 米国に送還された
    • 1ヶ月後、ルーマニア当局がREvil関連会社を逮捕
    • 実際のコーダーが誰かは知らない
    • RaaSは区分けができている
    • まだ野放しになっている
    • モスクワ検察官は違法な送金だけ扱っている
    • 起訴状の書き方によって弁護される可能性がある
• 攻撃に関して知らないことを分析
  • 民間企業との透明性がない
    • 誰が何をしたかよくわからない
    • 弁護人の情報へのアクセスを制限している
    • 軍や情報機関の関与は本来機密情報
    • 事件のファイルに含まれるはずのない手順が使われる
    • にもかかわらず法執行機関によって得られた結果の基礎になっている
  • FBIの正当性
    • 外国にあるインフラを積極的に攻撃した
    • 解決すべき課題
    • 最終的な裁判での説明責任を果たすこと無い
    • 民間でも同じ
• 国際的な類似の例
  • 同様の操作手法
  • Encrochat
    • メッセージングプラットフォーム
    • 犯罪者を助けるツールとして謳っているわけではない
    • プライバシーを守ると言っていた
    • この種のツールが犯罪に利用される
      • 30年以上前から繰り返されている
    • フランスとオランダの当局がこういった種類のデバイスが普及していることに気づき調査開始
    • 3年かかった
    • セキュリティを破ること
      • マルウェアを入れる
    • 多くの携帯電話に改ざんしたソフトウェア・アップデートを受信させた
  • SkyGlobal ECC
    • 2021年に解体された
    • Encrochatと同じ安全なメッセージングシステム
    • 法執行機関が暗号を解いた
    • しかし証拠はない
    • BlackBerryは法執行機関に協力
    • イタリアの最高裁は検察官が提供した情報が捜査中に他のところで発見された情報とふせなければならない
    • 証拠が違法に収集されたと入っていない
• ランサムウェアに関する犯罪について弁護しなければならないケース
  • 国によって状況は違う
  • 裁判もそれぞれ違う
  • まず起訴状を読む
    • 弁護する範囲を確認
    • 情報を得ようとするために
    • 優位性が弁護活動によって損なわれる
  • 十分に訓練されているとは限らない
  • 国ごと異なった判決をしている
    • それ自体は問題がない
    • 民間や法執行機関以外が関連している場合、検察の管理が及ばないところ
  • ハッキングによって得られた情報か
    • 確認は難しい
• 確認
  • 捜査起訴は難しい
  • 法的根拠
  • 裁判所はDueプロセスが問題にあることはわかる

感想

わからないことは多いですが、気にかけていきたい事象ですね。