米国政府機関がデータ窃盗恐喝で100万ドル支払いか?新手のサイバー攻撃「Kairos」の手口を解説

-

この記事のポイント

  • 米国の政府機関が、データ窃盗グループ「Kairos」に対し約100万ドル(約1億5000万円)の身代金を支払ったと報じられている。
  • Kairosは従来のランサムウェアのようにファイルを暗号化せず、盗んだ機密データの公開を脅すことで金銭を要求する新手の恐喝手法を用いる。
  • 被害はオハイオ州ユニオン郡と推測され、社会保障番号や指紋を含む約4.5万件の住民データが流出した可能性がある。

米国の政府機関が、データ窃盗による恐喝事件で約100万ドルを支払ったと報じられています。この事件は、Rakesh Krishnan氏がRansom-ISACのために行った調査に基づき、流出した交渉チャットとブロックチェーントランザクションの追跡によって明らかになりました。金銭を受け取ったグループは「Kairos」と名乗っていますが、従来のランサムウェア集団とは異なる可能性が指摘されており、その手口はサイバーセキュリティ業界に新たな警鐘を鳴らしています。

\楽天ポイント4倍セール!/
楽天市場
\商品券4%還元!/
Yahooショッピング

新たな恐喝手口「データ窃盗型ランサムウェア」

Kairosは、システムをロックしたり、暗号化解除キーを要求したりした形跡がなく、ファイルを盗んだ後にその公開をしないことを条件に金銭を要求するという、より直接的な脅迫手法を用いていたことが判明しています。これは、従来のランサムウェア攻撃がデータを暗号化してアクセス不能にするのに対し、Kairosは単にデータを窃取し、その機密性を武器に恐喝する「データ窃盗型」のアプローチを取っていることを示唆しています。

Krishnan氏の調査では、Kairosが暗号化ツールを使用した痕跡は見つかっておらず、彼らの脅威は盗んだファイルを公開することに限定されていました。

広がる暗号化を伴わない攻撃

近年、このような暗号化を伴わないデータ窃盗恐喝は増加傾向にあります。セキュリティ企業Sophosの2025年の報告によると、ランサムウェア攻撃のうち暗号化を伴うものは約半数に過ぎず、これは過去6年間で最低の水準です。一部の攻撃グループは暗号化を完全に放棄し、盗んだデータそのものを圧力点として利用しています。例えば、Contiの派生グループであるSilent Ransom Groupは、米国を拠点とする法律事務所や金融機関に対し、暗号化ツールを使用せずに純粋なデータ窃盗恐喝を長年実行してきました。

ユニオン郡の被害と交渉の経緯

今回の事件の被害者は明示されていませんが、交渉チャットの内容からオハイオ州ユニオン郡である可能性が高いとされています。流出したファイル名には「Union.xlsx」や「union.rar」といった名前が含まれており、特に「prosecutors office(検察庁)」と記されたフォルダの漏洩が犯罪者の逃亡を助けるとの脅迫がありました。

これらの手がかりは、2025年5月にユニオン郡がネットワーク上でランサムウェアを検知し、後に約45,487人の住民と職員のデータが窃取されたと発表した実際の事件と一致しています。郡の人口約7万人の大半に影響が及び、盗まれた記録には、社会保障番号、金融情報、指紋、パスポート番号といった機密性の高い個人情報が含まれていました。郡もKairosもこの関連性を公式には認めていませんが、もし事実であれば、郡政府は公表せずに約100万ドルを支払ったことになります。

100万ドルに及ぶ身代金交渉

交渉は約1ヶ月にわたり、Kairosは当初300万ドルを要求し、2TB以上、約160万ファイルものデータを保持していると主張しました。対する郡は10万ドルから交渉を開始し、段階的に25万5000ドル、43万ドルと提示額を上げました。最終的にKairosは要求額を200万ドルから100万ドルに引き下げ、期限までに支払わなければデータを公開すると通告しました。

郡は2025年6月13日、当初提示額の10倍にあたる約100万ドル、当時のレートで約9.44ビットコインを支払いました。Kairosは、カウントダウンタイマーや厳格な期限設定、最も機密性の高いフォルダから公開するといった一般的な脅迫手段を用いていました。

「削除証明」の信頼性

金銭の支払い後、Kairosは「削除証明ファイル」を送付しましたが、これは攻撃者がファイルを保有していたことを示すに過ぎず、元のデータが完全に消去された保証にはなりません。盗まれたデータの削除を信じて支払う行為は、まさに「信仰」であり、その証明書も窃盗犯自身が作成したものです。

Krishnan氏の追跡によると、支払われたビットコインは数時間以内に2つに分割され、Bybit、OKX、そしてロシアのサービスBELQIといった仮想通貨取引所に関連するウォレットアドレスへと送金されていました。このような資金の流れは捜査当局に手がかりを与えるものの、具体的な犯人特定には至っていません。

過去のリーク情報との類似性

Kairosの交渉パターンは、過去に流出した他のサイバー犯罪グループの内部チャットとも類似しています。例えば、2025年2月に流出したBlack Bastaの内部チャットの分析では、150万ドルの要求から10万ドルのカウンターオファーを経て100万ドルの支払いに至る取引が明らかになっており、今回のKairosのケースとほぼ同じ推移をたどります。これらのリーク情報は、サイバー恐喝集団がどのように交渉を進めているかを研究者が再構築する上で貴重な情報源となっています。

Kairos自体は沈静化しており、リークサイトは閉鎖され、最後に被害が確認されたのは2026年6月です。しかし、関連するウォレットは2026年5月まで資金移動が確認されており、リークサイトの閉鎖が必ずしもグループの活動停止を意味しないことを示唆しています。

【管理人の視点】日本の組織が学ぶべき教訓

今回の米国政府機関の事例は、日本国内の地方自治体や中小企業にとっても他人事ではありません。サイバー攻撃の手口が巧妙化し、データの暗号化だけでなく、機密情報の公開を武器にした恐喝が主流になりつつある現状は、既存のセキュリティ対策を見直す必要性を強く示しています。

特に、Kairosがパスワード推測によって侵入したと主張している点は重要です。多要素認証(MFA)の導入は、基本的ながら最も効果的な対策の一つであり、いまだ未導入の組織は早急な対応が求められます。また、不審なログイン試行、ネットワークからの大量データ転送、そして使い捨てのファイル共有リンクの使用など、異常な活動を早期に検知するための監視体制の強化も不可欠です。

さらに、法務、人事、住民記録といった特に機密性の高いデータは、ネットワークの他の部分から物理的または論理的に隔離し、アクセス権限を厳格に管理することが重要です。万が一の事態に備え、事前に公開声明の計画を準備しておくことも、危機管理の観点から推奨されます。そして最も重要なのは、盗まれたデータの削除を約束されても、その言葉には一切の価値がないと認識し、安易な身代金支払いに頼らない姿勢を堅持することです。一度支払えば、さらなる標的となる可能性も否定できません。

まとめ

米国の政府機関がデータ窃盗グループKairosに約100万ドルを支払ったとされる事件は、サイバー恐喝の手口が進化している現状を浮き彫りにしました。ファイルを暗号化する従来のランサムウェアから、機密データの公開を脅す「データ窃盗型」への移行は顕著であり、組織はこれに対応した新たなセキュリティ戦略を構築する必要があります。

多要素認証の導入、ネットワーク監視の強化、機密データの厳格な隔離、そしてインシデント発生時の対応計画の策定は、現代のサイバー脅威から組織を守るための不可欠な要素です。身代金支払いがデータの安全な削除を保証するものではないという教訓を胸に刻み、予防と対応の両面で堅牢な体制を築くことが求められます。

情報元:thehackernews.com

合わせて読みたい  ロシア政府系ハッカーが数千台の家庭用ルーターを乗っ取り!パスワード窃取と巧妙な手口を徹底解説

著者

カテゴリー

Related Stories