データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research（転載）

20+ OSINT resources for breach data research:

ここ数週間、データの漏洩・流出が話題になっています。

何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。

侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。

これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。

• https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。
  
  
• https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。

• https://cybernews.com/personal-data-leak-check/ – 流出したハッシュ化されたメールを確認することができます。

• https://ddosecrets.com/wiki/Special:Categories – ボランティアによって管理されているフリーデータです。リーク情報は、カテゴリーや地理的な位置によって検索可能です。

• https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。
  
  
• https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。
  
  
• https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。
  
  
• https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。
  
  
• https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。
  
  
• https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。
  
  
• https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。
  
  
• https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。
  
  
• https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。
  
  
• https://leakpeek.com/ –  無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。
  
  
• https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。
  
  
• https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。
  
  
• https://psbdmp.ws/ – 上と同じ
  
  
• https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。
  
  
• https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。
  
  
• https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。
  
  
• https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。

FIREに向けたセミナーを聞いてみる～区分で実現するには、まず1戸目の完済が重要～

先日、日本財託のオンラインセミナーに参加した。

投資の話に簡単に儲かる上手い話は無い。

個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。

現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)、 ウラケンさん（不動産投資全般）、小次郎講師（株式投資全般）、内藤忍さん（インデックス投資）といった方々である。

ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。

今回のセミナーでひとつ勉強になったことがある。

下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。

以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか？

そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。

それに対する解が「いま販売を停止しても、会社は成り立つどうか」である？

つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。

日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。

今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。

こういう事例は非常に参考になる。

業者が作ったイメージ図ではなくて、実績ですからね。

ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。

前々から言われて分かっていることだが、まずは1戸目の完済が重要である。

バックアップ

マリオットのポイント購入30%割引セール（2021年5月13日～6月30日）と現状のマイル整理

マリオットのポイント購入セールが開始。

今回は増量セールではなく、割引セールとなっている。

これまでの実績は下記の通り。

開始時期	セール内容
2019年4月	25％割引
2019年9月	30％割引
2019年11月	30％割引
2020年2月	50％ボーナス
2020年5月	60％ボーナス
2020年9月	50％ボーナス
2020年11月	60％ボーナス
2020年11月延長	50％ボーナス(会員によっては60％)
2021年2月	40％ボーナス(会員によっては50％)
2021年5月	30％割引

30%割引は割引率としては最も高い部類に入る。

今回1万ポイント買うとした際の費用感は下記となる。

手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット：JAL=3:1となる

駄菓子菓子（だがしかし！）

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。

ちなみに購入先は下記

https://storefront.points.com/marriott/ja-JP/buy

ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。

ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。

【2021/5/16時点のJALマイル状況】

・JALマイレージバンク：104,039マイル
　※有効期限：3年
　※21年末に東南アジア方面の特典航空券発行のため、若干減少

・モッピー：45,903ポイント（≒22,900マイル）
　※有効期限：最後にポイント獲得した日から180日

・永久不滅ポイント：8,850ポイント（≒22,125マイル）
　※有効期限：無し
　※200永久不滅ポイント⇒JAL500マイル

・JREポイント：15,000ポイント（≒10,000マイル）
　※有効期限：ポイントの最終獲得日or最終利用日から2年後の月末
　※JRE1500ポイント⇒JAL1000マイル

・Pontaポイント：33,500ポイント（≒16,750マイル）
　※有効期限：最終のポイント加算日から12か月後の月末

・マリオットポイント：53,000ポイント（≒17,000マイル）
　※有効期限：ポイントの最終獲得日から2年後
　※マリオット3ポイント⇒JAL1マイル

・WILLsCoin：44,500（≒8,900マイル）
　※有効期限：ポイントの最終獲得日or最終利用日から1年後
　※WILLsCoin500ポイント⇒JAL100マイル

■計：201,714マイル

JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。 

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開（転載）

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」　経済産業省が公開: 

　経済産業省は2021年4月19日、ネットワークに常時接続する機器に対するセキュリティ検証の高度化を目的に、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開した。効果的な検証手法や、検証サービス事業者と検証依頼者が実施すべき事項などをまとめている。

　出荷前の機器に対して行われるセキュリティ検証は、脆弱性の有無やセキュリティ対策の妥当性の確認手法として有効だが、検証人材の暗黙知に依存する部分が大きく、効果的な検証手法や実施すべき事項の統一的な整理がなされていなかった。

　また、セキュリティ検証サービスを利用する機器メーカーなどの検証依頼者にとっては、信頼できる検証サービス事業者を選定する基準や、適切な検証目的を設定する統一基準がないため、求める品質や結果が得にくいといった状況も生じている。

　同手引きは、こうした課題に対応し、セキュリティ検証サービスの高度化を目的にまとめられた。経済産業省では、同手引きを検証サービス事業者と検証依頼者の双方が活用することで、セキュリティ検証サービスの水準向上や適切な検証体制の構築が期待されるとしている。

検証方法を対象別にガイド　「手引き」の概要と使い方は

　検証対象は、IoT機器をはじめとするネットワークに常時接続する機器と、その関連サービス。同手引きは、これらの機器のサイバーセキュリティ確保に焦点を当てた記載が中心で、IoT機器などが接続するクラウドサーバや機器を組み合わせたシステム全体の検証は対象外となっている。

　同手引きは、本編と3点の別冊で構成されている。本編では、機器検証の目的や検証手順、検証結果の分析などの概要説明を通して、「検証サービス事業者が実施すべき事項」「検証依頼者が検証に向けて実施すべき事項や用意すべき情報、持つべき知識」「検証サービス事業者・検証依頼者間の適切なコミュニケーションのために共有すべき情報や留意すべき事項」などを記載している。

　別冊1では、検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に解説。機器全般に汎用的に活用できる内容となっており、ネットワークカメラを実例とした手法の適用事例も結果も示している。

　別冊2では、主な検証依頼者である機器メーカーが、検証を依頼するに当たって実施すべき事項や用意すべき情報などを詳細に提示。攻撃手法への対策例や、検証結果を踏まえたリスク評価などの対応方針も掲載している。

　別冊3では、高品質な検証サービスの提供に向け、検証サービス事業者で検証を担当する人材（検証人材）にフォーカスを当て、求められるスキルや知識、検証人材の育成、検証人材のキャリア設計で考慮すべきポイントなどをまとめている。

　各手引きは、経済産業省のニュースリリース「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました」、から参照できる。

　同手引きの対象者は、機器検証を実施する検証サービス事業者、同事業者に対して機器検証を依頼するメーカーの開発者、検証担当者、品質保証担当者、セキュリティ担当者などの検証依頼者とされている。一部で機器のセキュリティ確保に向けて実施すべき事項についても記載しているので、メーカーの機器設計、構築の担当者、サプライチェーン管理に関わる担当者なども参照できるとしている。

バックアップ

[Kali Linux] urlcrazy ～ニセ(類似)ドメイン調査～

ドメインのタイプミスとバリエーションを生成してテストし、タイプミスの不法占拠、URLハイジャック、フィッシング、企業スパイを検出して実行します。

特徴

• 15種類のドメインバリアントを生成します
• 8000以上の一般的なスペルミスを知っています
• 宇宙線によるビットフリッピングをサポート
• 複数のキーボードレイアウト（qwerty、azerty、qwertz、dvorak）
• ドメインバリアントが有効かどうかを確認します
• ドメインバリアントが使用されているかどうかをテストする
• ドメインバリアントの人気を推定する 

b-son.netの調査例

# urlcrazy b-son.net
Warning. Ulimit may be too low. Check with `ulimit -a` and change with `ulimit -n 10000`

URLCrazy Domain Report
Domain    : b-son.net
Keyboard  : qwerty
At        : 2021-05-13 22:15:00 +0900
# Please wait. 2007 hostnames to process

Typo Type              Typo Domain                     IP               Country             NameServer                MailServer    
----------------------------------------------------------------------------------------------------------------------------------------------------------------
Original               b-son.net                       216.239.32.21    UNITED STATES (US)  dns5.name-services.com.   alt1.aspmx.l.google.com.
Character Omission     b-on.net                                                                                                     
Character Omission     b-sn.net                                                                                                     
Character Omission     b-so.net                        217.160.0.172    GERMANY (DE)        ns1087.ui-dns.org.        mx00.1and1.fr.
Character Omission     b-son.ne                                                                                                     
Character Omission     bson.net                        34.102.136.180   UNITED STATES (US)  ns76.domaincontrol.com.   ASPMX.L.GOOGLE.COM.
Character Repeat       b--son.net                                                                                                   
Character Repeat       b-sonn.net                                                                                                   
Character Repeat       b-soon.net                                                                                                   
Character Repeat       b-sson.net                                                                                                   
Character Repeat       bb-son.net                                                                                                   
Character Swap         -bson.net                                                                                                    
Character Swap         b-osn.net                                                                                                    
Character Swap         b-sno.net

OSINT用にVPNを導入してみる

OSINTガイドを読み返していて、VPNの必要性を認識し、VPNを導入してみた。

VPNの必要性=匿名性の確保なのだが。。。

現時点でイけてるVPNサービスベスト5は下記の通り。

自分もこの中から一つ選んで加入してみた。

■ExpressVPN：最も匿名性の高いVPNサービス。世界中に設置された安全なサーバーと、強力なノーログポリシーを提供。

■NordVPN：難読化されたサーバーやノーログ・ポリシーなど、安全性の高いサービスを提供。

■Private Internet Access： オンラインでの匿名性を確保するのに最適なVPN。ログを残さないという主張は法廷でも証明されており、複数の暗号設定が可能。

■CyberGhost VPN： 初心者向けの使いやすいVPN。Android & iOSで安全で洗練されたアプリを提供し、外出先でもあなたの匿名性を守ります。

■PrivateVPN：最も安い匿名VPN。わずか1.89ドルで、いくつかの素晴らしい機能＆ノーログポリシーでプライバシーを向上させることができます。

Windows 10は、LinuxのGUIアプリケーションをシームレスに実行できるようになりました / Windows 10 now lets you seamlessly run Linux GUI apps（転載）

Windows 10 now lets you seamlessly run Linux GUI apps: 

Windows 10では、マイクロソフト社がWindows Subsystem for Linux（WSL）にGUIサポートを追加したことにより、仮想マシンを使わずにLinuxのGUIアプリ（X11およびWayland）を実行できるようになりました。

"Senior Program ManagerのBrandon LeBlanc氏は、「Linux用のWindows Subsystemに、GUIアプリケーションのサポートのファーストプレビューが含まれました。」これは、お気に入りのGUIエディタ、ツール、アプリケーションを実行して、Linuxアプリケーションの開発、テスト、ビルド、実行ができるようになったことを意味します！"

マイクロソフトは、Windows 10のお客様が、PowerShellやWindows 10のコマンドプロンプトで、ELF形式のLinuxバイナリをWindowsコンピュータ上でネイティブに実行できるようにするために、WSL互換レイヤーを設計しました。

Announced during BUILD 2020

ユーザーは、少なくとも2016年から、WSLにWaylandプロトコルのサポートを追加してGUIのLinuxアプリを動作させることをマイクロソフトに求めてきたが、同社は昨年のBUILD 2020でWSLにLinuxのGUIサポートを導入する意向を発表したばかりだった。

WSLg（Windows Subsystem for Linux GUIの略）と名付けられた新機能が、Dev ChannelでInsiders向けに提供されている最新のPreview Build 21364に追加されました。

以前ご紹介したように、お気に入りのLinux GUIアプリケーションを、Linuxデスクトップで使用するようにWindowsで使用できるようになります。

"WSLgは、LinuxのGUIアプリケーションを、Windows上でネイティブで自然な感覚で使えるようにすることを目指しています" と、マイクロソフト社はGitHubページでこの機能を説明しています。

"スタートメニューに統合して起動したり、タスクバーに表示したり、alt-tab体験やWindowsとLinuxアプリケーション間でのカット＆ペーストを可能にするなど、WSLgはWindowsとLinuxアプリケーションを活用したシームレスなデスクトップ体験とワークフローを実現します。"

Windows Developer Platform Program ManagerのCraig Loewenは、WSLgの使用例として、お気に入りのIDEを使ったLinuxプロジェクトの開発、デバッグ、テスト、オーディオや3DアクセラレーションをサポートしたLinuxアプリの使用などを紹介しました。

Loewen氏の説明によると、WSLgは "Wayland、Xサーバー、パルスオーディオサーバーなど、LinuxのGUIアプリがWindowsと通信するために必要なものをすべて含んだコンパニオンシステムディストロ "を自動的に起動します。

"GUIアプリケーションの使用が終了し、WSLディストリビューションを終了すると、システムディストロも自動的にセッションを終了します」と付け加えた。

この機能がどのように動作するか、技術的な詳細を含めて、このブログ記事で詳しく説明しています。

How to install and use WSLg

最新のInsiderプレビュービルドを実行しているWindows 10コンピュータにWSLgをインストールするための詳細な手順は、こちらでご覧いただけます。

また、マイクロソフトは、LinuxのGUIアプリをPCにインストールして起動する方法を、ステップバイステップで説明しています。インストール後は、スタートメニューやターミナルウィンドウから起動することができます。

Loewen氏が録画したWSLgの動作デモビデオを以下に埋め込みます。

患者情報の管理に関するご報告とお詫び（転載）～突っ込みどころ満載のお詫び文～

患者情報の管理に関するご報告とお詫び

 このたび、当院職員が大学の規定に反して、患者様586名の個人情報（ID、氏名、性別、生年月日、入退院日、診断名、入院目的、modified Rankin Scale（生活の自立度）、JCS（意識状態））を個人用パソコンに保存し、大学で許可されていないクラウドサービス（インターネットの情報保存スペース）を利用していたところ、2021年4月25日、宅配業者を装ったフィッシングメールにより当該職員のクラウドサービス用ID及びパスワードを盗み取られ、当該患者様の個人情報を閲覧できる状態になっていたという事態が発生しました。

現在は、当該クラウドサービス用IDにセキュリティ保護が掛かるよう対策をとりましたので、第三者が本件個人情報を閲覧することはできません。また、これまでに本件個人情報が第三者に閲覧され、あるいは、不正に使用された事実は確認されていません。今後、本件個人情報が第三者に閲覧されていた等の事実が確認されることがありましたら、改めてご報告申し上げる所存でおりますが、事態の重大性に鑑み、まずは本件個人情報の対象となる患者様に事実をご報告する文書を4月28日に発送させていただきました。

このたびは、患者様はじめ皆様に多大なご迷惑とご不安を与える事態となり、誠に申し訳ございませんでした。本件個人情報には住所および電話番号は含まれていませんが、もし、患者様に不審な連絡があった場合やご不明な点などがございましたら、大変お手数ですが、下記までご連絡くださいますよう、お願い申し上げます。

当院ではこれまで全職員に対し、定期的に研修を実施し、「個人所有のパソコンに患者様の個人情報を保存してはいけないこと」、「やむを得ず保存する際には個人情報を匿名化すること」等について教育・意識啓発を行ってまいりましたが、今回、それらが実施されていませんでした。当院の情報管理体制に不備があったことを深く反省し、厳正に対処するとともに、今後、このようなことが起きないよう、再発防止策を検討し、緊急ミーティングを開催して個人情報を含む情報管理の方法を改めて周知徹底したところです。職員に対する教育・指導については、さらなる強化に努めてまいります。

バックアップ

最近はやりのSmishing、コストは1通10円（転載）

最近はやりのSmishing、もはやEmailよりもこっちが主流では？と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い（日本1通10円）なぁ。バルク配信を謳っているけど:

最近はやりのSmishing、もはやEmailよりもこっちが主流では？と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い（日本1通10円）なぁ。バルク配信を謳っているけど

Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever（転載）

Cl0Pランサムの追跡記事

Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever

キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。

しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。

"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"

ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。

C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。

"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。

"In our team there is no me, there is only us, as a rule, most people are interchangeable."

Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。

このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。

このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。

Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance（FTA）」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。

マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。

"Yes, Somehow" とハッカーたちは答えました。

Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。

先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。

Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。

Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。

Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。 

"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。

Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。

2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。

別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30％、10日以内なら20％、20日以内なら10％の割引とのこと。

しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。

Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。

"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。

"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。

また、ハッカーたちは自分たちのことをあまり語らなかった。

"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"

ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体（CIS）の一部の国を拠点としている可能性が高いと考えられています。

"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."

Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。

これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。

"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、（法執行機関による）訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体（Commonwealth of Independent States）のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。

Terefos氏も同じ意見です。

「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。