ロシア
米国のOFAC、英国のFCDO、オーストラリアのDFATが、ランサムウェア攻撃を支援したZserversを共同で制裁
※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2025年2月11日、米国財務省外国資産管理局(OFAC)、英国外務英連邦開発省(FCDO)、およびオーストラリア外務貿易省(DFAT)は、共同で制裁措置を講じ、ロシアを拠点とするBPH(bulletproof hosting)サービスプロバイダーであるZserversを、LockBitランサムウェア集団によるランサムウェア攻撃を支援した役割を理由に制裁対象としました。LockBitは、これまで最も活発なランサムウェア・アズ・ア・サービス(RaaS)グループのひとつでしたが、昨年2月に米国と英国が共同で実施した大規模な摘発により大きな打撃を受け、現在もランサムウェアの分野に大きな影響を与えています。 BPHプロバイダーは、顧客がウェブホスティング料金を匿名で支払うことを可能にするもので、一般的に、顧客がホスティングできるコンテンツには寛容です。ウェブサイト制作者が匿名性を維持する正当な理由がある一方で、BPHプロバイダーは当然ながら物議を醸すユーザーや犯罪者までも引き寄せてしまいます。例えば、ダークネットマーケット、売春や人身売買を助長するサイト、また、正規の企業のウェブサイトを模倣して顧客情報を盗むために開設されたフィッシングサイトなどは、運営を継続するために、多くの場合、信頼性の高いホスティングプロバイダーに依存しています。 以下では、Zserversのオンチェーンの活動と、このグループが制裁を受けた理由について、さらに詳しく見ていきます。 ランサムウェアオペレーションの鍵となっていたZservers OFACは、ロシア国籍のAleksandr Sergeyeevich BolshakovとAlexander Igorevich Mishin(Mishinに関連する暗号資産アドレス1件を含む)およびZservers自体(Zserversに関連する暗号資産アドレス3件を含む)を特別指定国民および資格停止者(SDN)リストに追加しました。OFACの指定には、ダークウェブのフォーラムでZserversのサービスを宣伝するために使用された別名も含まれています。 英国政府は指定通知の中で、Zserversを「ロシアのサイバー犯罪サプライチェーンの主要な構成要素」であり、「英国に対する攻撃を計画・実行するサイバー犯罪者にとって不可欠なインフラを提供している」と特徴づけました。 ボリシャコフとミシンに加え、FCDOとDFATはさらに4人のZservers従業員と、英国のダミー会社であるXHOST Internet Solutions LPも指定しました。英国におけるランサムウェア攻撃(病院を狙ったものを含む)は、サイバーセキュリティ政策における優先事項として継続的に取り組まれています。 Zserversは、ロシア、ブルガリア、オランダ、米国、フィンランドにサーバーを保有しており、ホームページによると、サーバー管理、サポート、機器、カスタム構成サービスを提供しています。 Zserversのオンチェーンアクティビティ 下のChainalysis Reactorグラフは、Zserversが不正アクターと直接関わっている部分を捉えたもので、ランサムウェアグループや関連組織など、さまざまなアクターがZserversのサービスに対して資金を送金していることが分かります。例えば、今日の指定で言及された唯一のグループであるLockBit以外にも、複数の異なるランサムウェア関連組織がZserversに資金を送金しています。Chainalysisのデータによると、ZserversはOFACが制裁対象としたGarantex、決済サービス、No…
ランサムウェアの支払は前年比35%減、被害者による支払は記録されたインシデントの半数以下に
※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2024年には、ランサムウェアの状況に大きな変化が起こり、暗号資産が引き続き恐喝の中心的な役割を果たしました。しかし、法執行機関の取締りの強化、国際的な連携の改善、被害者による支払拒否の増加を背景に、ランサムの支払総額は前年比(YoY)で約35%減少しました。 これを受けて、多くの攻撃者は戦術を変更し、ブランド名を変更したり、流出したり、購入したコードから新たなランサムウェアが誕生するなど、より適応力があり機敏な脅威環境を反映した動きを見せています。また、ランサムウェアの活動はより迅速になり、データの持ち出しから数時間以内に交渉が始まることも珍しくありません。攻撃者は、国家によるものから、ランサムウェア・アズ・ア・サービス(RaaS)の運用、単独の実行犯、クラウドサービスプロバイダーのSnowflakeからデータを脅迫して盗んだデータ窃盗恐喝グループなど、多岐にわたります。 本章では、これらの動向とその影響について、さまざまな事例研究(LockBit、イランのランサムウェア亜種、Akira/Fog、INC/Lynx)を交えながら、今年の傾向を例示しながら探っていきます。 ランサムウェアの活動のピークは1年の中頃 2024年には、ランサムウェア攻撃者は被害者から約8億1355万ドルの支払いを手に入れましたが、これは記録的な12億5000万ドルを記録した2023年から35%の減少であり、2022年以来初めてランサムウェアの収益が減少しました。 Mid-year crime updateで指摘したように、2024年1月から6月までのランサムウェア攻撃者による身代金は4億5,980万ドルに達し、2023年の同期間における身代金総額を約2.38%上回りました。2024年上半期には、記録的な7,500万ドルの支払いがDark Angelsに対して行われるなど、例外的に高額な支払いがいくつか発生しました。 前年同期比(HoH)の増加率は半分以下でしたが、2024年は年末までに2023年の総額を上回るだろうと予想していました。しかし幸いにも、2024年7月以降、支払いの活動は約34.9%減速しました。この減速は、2021年以降の身代金支払いの前年比減少率や、盗難資金など一部の暗号資産関連犯罪の2024年下半期の全体的な減少率と類似しています。注目すべきは、今年度の減少率は過去3年間よりも顕著であるということです。 上半期の収益で上位10位のランサムウェアを詳しく調べると、これらの首位トレンドを推進するグループについて貴重な洞察が得られます。下の図に示すように、2023年3月以降250以上のエンティティを標的にしているAkiraは、上半期のトップ10のランサムウェアの中で、2024年下半期に活動を活発化した唯一のグループです。2024年初頭に英国の国家犯罪対策庁(NCA)と米国連邦捜査局(FBI)によって活動を妨害されたLockBitは、下半期の支払いが約79%減少しました。これは、国際的な法執行機関の連携が効果的であることを示しています。2023年のトップグロース系統のひとつであったALPHV/BlackCatは、2024年1月に出口詐欺に遭い、下半期に空白が生じました。 ランサムウェアのインシデント対応企業であるCovewareのインシデント対応シニアディレクターであるLizzie Cookson氏は、以下のように述べています。「LockBitとBlackCat/ALPHVの崩壊後、市場は以前の状況には戻りませんでした。単独犯の増加は見られましたが、以前に注目されたランサムウェアがダウンしたり閉鎖された後に見られたような、市場シェアを素早く吸収するグループは見られませんでした。現在のランサムウェアのエコシステムには、中小規模の市場に焦点を当てた多くの新規参入者が参入しており、それらの市場はより控えめな身代金要求に関連しています。」 下半期のランサムウェア支払い活動の減少をさらに文脈化するために、まずランサムウェアの出来事の代理となり得るデータ漏洩サイトに注目しました。以下のチャートでは、下半期にランサムウェアの出来事が増加した一方で、オンチェーンの支払いは減少しており、より多くの被害者が標的となったものの、支払った被害者は少なかったことが示唆されています。 Source: ecrime.ch 2024年には、データ漏洩サイトがこれまでのどの年よりも多くの被害者を出す結果となりました。被害者とされる人数が増えただけでなく、Recorded Future の脅威インテリジェンスアナリストであるAllan…
ロシア政府に代わって偽情報を流したとしてロシア国籍のIlya Andreevich GambashidzeとNikolai Aleksandrovich TupikinがOFAC制裁対象に指定
※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。 2024年3月20日、米国財務省外国資産管理局(OFAC)は、ロシア連邦政府による外国での悪意あるキャンペーン(各国の政府に対する信頼を損なうことを目的とした世界中の有権者への欺瞞行為など)を支援したとして、ロシア国籍のイリヤ・アンドレーヴィチ・ガンバシゼ氏とニコライ・アレクサンドロヴィチ・トゥピキン氏、および両氏のそれぞれの企業を制裁対象に指定しました。OFACは、この指定に2つのUSDTアドレスを含め、Tetherはそれ以来、Gambashidzeのウォレットを凍結しています。 OFACが暗号資産が関与する偽情報キャンペーンに関与したロシア国民に対して措置を取るのは、これが初めてではありません。例えば2021年4月、OFACは連邦保安庁(FSB)と関連のある偽情報発信元であるSouthFrontを指定しました。また、OFACは、2016年の大統領選挙への介入に関与したことで知られるロシアのトロールファームであるインターネットリサーチエージェンシー(IRA)と関連のあるエフゲニー・プリゴジン氏のダミー会社である、自由研究・国際協力協会(AFRIC)も指定しました。 本ブログでは、今日のOFAC指定に含まれているGambashidze氏とTupikin氏のUSDTアドレスのオンチェーン活動を含め、両氏の活動について探ります。 両名がOFAC制裁対象に指定された理由 ガンバシドゼ氏はロシアを拠点とするソーシャル・デザイン・エージェンシーの創設者であり、トゥピキン氏はロシアを拠点とするカンパニー・グループ・ストラクチャLLCのCEOです。両社は、しばしばロシア政府の指示により、外国の選挙や政治的紛争に関する偽情報を拡散する個人を雇っています。 制裁対象となった両者は共同で、欧州のメディアや政府機関を装って外国の選挙に影響を与えようとしました。OFACによると、2022年末までにガンバシゼとトゥピキンは、これらの機関を装うために60以上のウェブサイトを作成し、選挙人に対して欺瞞的な情報を流す目的で、それらのサイトをソーシャルメディア上で宣伝していました。 特にガンバシゼは、ロシアの対外影響力を高めるために偽情報を流布してきた経歴があります。2023年には、欧州連合理事会がウクライナおよび西欧諸国の有権者を標的にしたとして、彼を制裁対象個人のリストに追加しました。その後まもなく、米国務省のレーダーに引っかかり、ラテンアメリカ全域に偽情報を拡散したとして、イスラエルとハマスの戦争に関するプロパガンダに転じました。 Gambashidzeのオンチェーン活動 OFACは、Gambashidzeに関連する2つのTRONネットワーク上のUSDTアドレスを記載しました。 TEFph7dZoUN5233cGEzF6XFwRpjPF8fQDS TMGLqRQ4twjW8wJhVH1mQR7nUThpGHUsN3 以下のChainalysis Reactorのグラフは、GambashidzeのウォレットがTRONネットワーク上で20万ドル相当以上のUSDTを受け取ったことを示しており、その大部分は以前に制裁を受けたロシアの取引所Garantexから直接送金されたものです。その後、彼はその資金のほとんどを大手取引所の単一の入金アドレスにキャッシュアウトしました。これらのトランザクションは、ロシア政府の違法行為へのGarantexの継続的な関与を浮き彫りにしています。 ロシアの暗号資産関連の活動を監視 OFACの今回の指定は、米国市民を不正行為者から守り、誤情報の拡散を阻止し、世界中で選挙の完全性を維持するという同機関の取り組みを明確に示しています。さらに、TetherがGambashidzeのウォレットを凍結し、2つのアドレスへのExposureの可能性からエコシステムを守るために迅速な対応を取ったことを称賛します。「Tetherは不正行為の手段ではなく、今後もそうなることはありません。制裁対象の個人に関連するウォレットを凍結する迅速な対応は、悪用防止に対する当社の積極的な姿勢を示すものです。当社は今後も、デジタル資産分野における最高水準のコンプライアンスと信頼性を維持することに専心してまいります」と、TetherのCEOであるパオロ・アルドイノ氏は述べています。 当社の製品群では、関連アドレスを制裁対象のエンティティに関連するものとしてラベル付けしています。 This website contains…
ロシアと北朝鮮の共通サイバー攻撃インフラ:新たなハッキングデータが提起する安全保障上の懸念
歴史的なロシア・北朝鮮の首脳会談があったなか、オンチェーンデータが不穏な情報を示しました。北朝鮮系のハッキンググループが不正な暗号資産のロンダリングのために、ロシアの取引所をますます利用しているということです。 この動きは、サイバー戦争における北朝鮮の策略について警鐘を鳴らすものです。まもなく発表予定の国連レポートでは、北朝鮮は、国が支援する世界の暗号資産や金融機関を狙うハッキンググループによるますます巧妙なサイバー攻撃によって、核兵器開発の資金を得ていると指摘されています。 Chainalysisのデータでは、Harmony Protocolから窃取された2,190万ドル相当の暗号資産が、違法取引を行っていることで知られるロシアの取引所に最近移されたことが観測されました。さらに、北朝鮮のエンティティは取引所を含むロシア系サービスをマネーロンダリングの目的で2021年から利用していることもわかっています。このような動きは、サイバーの裏社会でのロシアと北朝鮮の連携がますます強まっていることを示しています。 以下のChainalysis Reactorのグラフでは、Harmonyから盗まれた資金の一部がロシアの取引所に移転したことを示します。 この情報は北朝鮮とロシアのサイバー犯罪者達の強い連携と共に、世界の当局が抱える困難も表しています。ロシアは国際的な法執行機関に対し非協力的な姿勢をとっているため、ロシア系取引所へ送られた盗難資金の差押えの見込みを立てるのは非常に困難といえます。これまでに北朝鮮が利用してきた主要な取引所は多くの場合協力的であるものの、ロシアの取引所や法執行機関がコンプライアンスに準拠していないことがデータでわかっており、このことが資産の差押えの可能性を著しく下げています。 2023年の北朝鮮による暗号資産ハッキングによる被害額 マネーロンダリングの手口の変化が新たな複雑性を生んでいる一方で、北朝鮮によるハッキングには、第三四半期の終わりに近づいている今、逆説的なトレンドがあります。Chainalysisのデータによれば、北朝鮮によるハッキングによる昨年の被害総額は16.5億ドルでしたが、現時点で今年の被害総額は3.4億ドル超程度です。 ただ、金額ベースでは、昨年よりも北朝鮮系ハッカー資金の窃取のペースが落ちていますが、2022年は極めて盗難資金の総額が大きかったこともあり、それを超えるのは非常に難しいともいえるでしょう。 これまでの盗難資金の累計額は35.4億ドル相当となり、北朝鮮はハッキング活動の巣窟であり、今だにサイバー犯罪の世界における最大の脅威であり続けています。 今年北朝鮮が関与したハッキングによる盗難資金の総額は、今年の全体の事案の被害額のうち29.7%程度であり、2022年ほどの高い割合ではありません。 2022年の教訓: 北朝鮮のサイバー脅威は未だ継続 ハッキングによる被害総額の減少は成功の兆しとも言いたくなるかもしれませんが、2022年の被害総額がただ極めて大きかったということは忘れてはなりません。昨年は、Lazarus Groupが関与していたものも含め、多くの大規模事案が顕著に発生しいました。最も特筆すべきなのは、Play-to-Earnゲームとして人気のAxie Intifityが作ったサイドチェーンであるRonin Networkを狙った攻撃です。この事案では約6億ドル相当もの暗号資産が盗まれるという甚大な被害をもたらしました。今年の被害総額が昨年に比べ小さいことは、セキュリティの向上やサイバー犯罪の活動が減った結果とは必ずしも言えないでしょう(とはいえ、コード監査によるセキュリティ対策には気を使うべきですが)。 実際のところ、あと大規模事案が今年さらに1件発生すれば、2023年の被害総額は10億ドルのボーダーを超えることになります。オンラインでは物事が速く動きます。大規模な攻撃も一夜にして実現されます。政府機関はますます複雑化し危険性の高まる暗号資産犯罪への対策について注力すべきでしょう。 ブロックチェーン上の犯罪との戦い…
ロシアのウクライナ侵攻から 1 年、 暗号資産が引き続き重要な役割を担う
ロシアによるウクライナ侵攻の開始から 1 年が経過する中、数百万もの人々が家を失い、主要都市は砲撃を受け、ロシアとNATOの間の争いはさらにエスカレートしています。2023 年になってロシアは、ウクライナ東部ソレダルなどへの攻撃を再開。米国と英国はウクライナに武器供与の意向を表明し、プーチン大統領は米ロ核軍縮条約の履行停止を発表しました。 Chainalysisにとって、この 1 年という節目は、良くも悪くもロシアとウクライナの戦争で暗号資産が果たした大きな役割について振り返ってみるきっかけになりました。以下では、ランサムウェア攻撃や制裁逃れといった悪意のある行為から、被災地への寄付の促進といった前向きな利用例に至るまで、暗号資産が両国民に与えた影響に関するデータをご紹介します。この分析から、暗号資産が世界経済、特に東欧においてどのように浸透しているか、またこのような激動の時代における国境を越えた支払いでのその独自の有用性が明らかになります 暗号資産の寄付を募る親ロシア派グループ Chainalysisは、侵攻開始からおよそ 5 か月後に、ロシア軍の軍事物資購入のクラウド ファンディングや虚偽情報の拡散、さらに侵略支持のプロパガンダ作成などに取り組む 54 のボランティア グループを特定しました。侵攻開始以前の金額も一部含まれていますが、これらの組織が受けた寄付は、その時点で約 220 万ドルにも上っています。侵攻開始から 1 年が経過した現在では、特定できる親ロシア派の団体の数は約 100…
法執行機関によるダークネットマーケットの閉鎖に続き、OFACがHydraおよびロシアの取引所Garantexにも制裁措置
本日は、暗号資産犯罪との戦いにおける非常に重要な日となりました。米国の複数の法執行機関とドイツの連邦警察の協力によって、ロシアを拠点とした、収益で世界最大のダークネットマーケットと言われる「Hydra Market」が閉鎖に追い込まれました。 さらに同日、米国司法省はHydraの主要なオペレータの1人を告訴し、また米国財務省外国資産管理局 (OFAC) はHydraを制裁対象として、100を超える暗号資産のアドレスをSDNリストに追加しました。同時にOFACは、以前Chainalysisがマネーロンダリングにおける役割を調査した、ロシアの暗号資産取引所であるGarantexについても制裁対象としました。 OFACが指定した全てのアドレスは、Chainalysis製品にて織別が付けられ、KYTをご利用のお客様には、設定に応じて「制裁対象」のアラート (sanctions alert) が表示されるようになります。 以下で、HydraおよびGarantexの違法行為を分析し、またOFACがリストに掲載した制裁対象アドレスを共有します。 Hydraとは? Hydraはロシア語圏だけを対象としているにも関わらず、ここ数年にわたり、突出して規模の大きいダークネットマーケットとなっています。 2021年、Hydraは全世界のダークネットマーケットの収益の75%に相当する、17億ドル相当の暗号資産を受け取っています。 Hydraはまた、その洗練された運営方法でも有名です。例えば、Uberに似た仕組みによって匿名の運び屋を手配して麻薬取引行ったり、買い手が人里離れた森に現金を埋め、売り手が後からそれを掘り出すといった、非接触型の手法で麻薬取引を行っています。Hydraは、ダークネットマーケットにおける取引の機密性やセキュリティを熟知しています。 Hydraやそのベンダーは、厳密なコントロールと管理が行われているインフラストラクチャーに備えられた複数の事前承認済みサービスを使って、ベンダーやサイバー犯罪者が暗号資産をロシアルーブルに換金できる、マネーロンダリングサービスを提供しています。 Hydraでマネーロンダリングサービスを提供するベンダーの例 実際に2020年、Hydraは他のダークネットマーケットや、盗難資金を保持したウォレット、ランサムウェアのオペレータ、詐欺などから、6億4,500万ドルに相当する暗号資産を受け取っています。 暗号資産を使った制裁回避に関する最近の懸念を考えれば、Hydraの閉鎖と制裁措置は正に最適なタイミングでの対応と言えます。このプラットフォームが提供するマネーロンダリングサービスが、制裁対象となっているロシアの企業や個人に便宜を供与している可能性があるからです。これらの対応に加え、米国の司法省は、ロシア在住のDmitry Olegovich Pavlovを、麻薬の流通とマネーロンダリングを目的にHydraの運営に関わった容疑で告訴しました。2015年以来、Pavlovは自身の会社であるPromservices…