コラム第７７２号：「幹事就任のご挨拶」

第７７２号コラム：廣澤　龍典　幹事（株式会社NTTデータ　技術革新統括本部　システム技術本部
セキュリティ技術部　情報セキュリティ推進室　NTTDATA-CERT担当）
題：「幹事就任のご挨拶」

IDFの皆様、4月より幹事に就任いたしました廣澤と申します。今回は就任にあたって私の自己紹介と、普段の業務を行う中で考えていたことについて執筆させていただければと思います。

私は学生時代、暗号資産やブロックチェーンの研究に従事していました。順風満帆な研究成果を出して卒業とは言いづらいものの、体が疲れた時には駄菓子を食べて心が疲れた時にはうる星やつらを読んでリフレッシュできる、そんな唯一無二の研究室を作り上げてくださった上原先生のおかげで、セキュリティの楽しさと難しさのみならず、うる星やつらの素晴らしさを十二分に堪能する最高の学生時代を過ごすことができました。当時、先生のお仕事の様子を見ていると世間の反応が大きく難しい案件を多く受け持たれていたようでしたので、就職後も先生と何かご一緒できればと期待しつつ、しかしそれはその案件が困難であることを示すのである種の恐怖も混ざっていました。今回はIDFという平和な舞台でご一緒できることを大変嬉しく思っています。立場上、IDFの運営等に深く関与することは多くないのかもしれませんが、特に12月開催予定のIDF一大イベント、デジタル・フォレンジック・コミュニティでは皆様に喜んでいただけるように尽力して参ります。イベントでは皆様にお会い出来ることを楽しみにしています。

さて、現在私はNTTデータ内のインシデントレスポンスを担当するCSIRTに所属しています。平時は主にOSINT（公開情報からの情報収集）を担当しており、脅威情報の収集や収集した情報を活用するための基盤運用を行っています。また、DarkwebやTelegramなどに存在するサイバー犯罪コミュニティからの情報収集や監視も行っています。今回はこのコミュニティを見ていた中で考えていたことをお伝えできればと思います。

1年ほど前のニュースになりますが、2022年3月にRaidForumsというコミュニティが司法機関によりテイクダウンされ管理者が検挙されました（※1）。このコミュニティには、サイバー攻撃で得られた機密情報の売買やサイバー攻撃に用いるツールやテクニックを話すスレッドが多くあり、会員登録にあたって審査や招待が不要だったことも相まって50万人以上のユーザがいたとされます（※2）。一方で、テイクダウンはどうしてもイタチごっこになってしまうことが多く、実際にRaidForumsテイクダウンの数週間後にはBreachForumsと呼ばれる新たなコミュニティが作成され、RaidForumsと同様の話題を扱うBreachForumsは瞬く間にRaidForumsの後継となりました。なお、イタチごっこと書いた通り、2023年3月にはBreachForumsもテイクダウンされ管理者が検挙されています（※3）。しかし、ここで興味深い点は先のテイクダウンと異なりテイクダウンから約2ヶ月経った本コラム執筆時点で、明確に後継といえるコミュニティが確立されていないことです。複数の脅威アクターが新たなコミュニティを作成しSNSで宣伝していることも確認できていますが、それらのコミュニティでスレッドが建てられるペースはBreachForums作成後のペースと比べて緩やかで、かつてのBreachForumsの後継として利用されているようには見えません。脅威アクターらのやりとりを見ていると、新たに作成されたコミュニティが司法機関により作成されたハニーポットである疑いを捨てきれないために、未だどのコミュニティを使うべきか（後継とすべきか）決められていないようです。

なぜRaidForumsのテイクダウン後の動きと差が生まれているのか、それは検挙したBreachForumsの管理者の知名度と、昨今の司法機関による積極的（継続的）なテイクダウンや関係者の検挙だと推測しています。検挙されたBreachForumsの管理者”pompompurin”は悪名高い脅威アクターであり、FBIの電子メールサーバへの攻撃をはじめとして世間で話題になるような攻撃へ多く関与した疑いが持たれています。また、司法機関はコミュニティに限らず2023年1月にGenesisMarketと呼ばれる機密情報の売買に特化したマーケットを、2023年4月にはHiveと呼ばれるランサムウェアをテイクダウンし関係者の検挙を行なっています（※4,※5）。ここで、BreachForumsのテイクダウン後の脅威アクター側の考えを推測すると「リーダーシップのある有名な脅威アクターに音頭を取ってもらい、新たなコミュニティが確立されて欲しい」といったところでしょうか。しかし、上記のように司法機関によるテイクダウンや検挙が継続的に成功しており、その中には有名な脅威アクターであるpompompurinも含まれているということであれば活動が萎縮されるのは自然です。例えば、BreachForumsの共同管理者を名乗る脅威アクターは、BreachForumsを復活させられるか調べたり、自身が検挙されていないことを示すメッセージの配信を行ったりしていますが、幸いにも後継となるコミュニティの作成には至っていません。

本来は関わるはずのない一般人でも少し調べればアクセスできてしまうサイバー犯罪コミュニティのテイクダウンは、機密情報を漏えいされて被害者になったり逆に魔がさして加害者になったりするなどの可能性を少なくできるので素晴らしいことです。一方で、サイバー犯罪コミュニティすべてがテイクダウンできたわけではなく、今後後継となるコミュニティが作成される可能性も0になったというわけでもありません。微力ながら私も情報収集や監視を続けて、単純に得られた情報を共有するだけではなく啓発活動なども行い、被害の発生だけでなく犯罪への加担も防ぐことができればと考えています。技術者としてもIDF幹事としてもまだまだ未熟者ですが、皆様のご指導ご鞭撻を頂きながら精一杯努めて参りますので今後ともどうぞよろしくお願いいたします。

※1　United States Leads Seizure of One of the World’s Largest Hacker Forums and Arrests Administrator, U.S. Department of Justice (April 12, 2022), https://www.justice.gov/opa/pr/united-states-leads-seizure-one-world-s-largest-hacker-forums-and-arrests-administrator
※2　One of the world’s biggest hacker forums taken down, EUROPOL (April 12, 2022), https://www.europol.europa.eu/media-press/newsroom/news/one-of-world%E2%80%99s-biggest-hacker-forums-taken-down
※3　Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation, U.S. Department of Justice (March 24, 2023), https://www.justice.gov/opa/pr/justice-department-announces-arrest-founder-one-world-s-largest-hacker-forums-and-disruption
※4　Criminal Marketplace Disrupted in International Cyber Operation, U.S. Department of Justice (April 5, 2023), https://www.justice.gov/opa/pr/criminal-marketplace-disrupted-international-cyber-operation
※5　U.S. Department of Justice Disrupts Hive Ransomware Variant, U.S. Department of Justice (January 26, 2023), https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant

【著作権は、廣澤氏に属します】