世界最大級のサイバー攻撃集団でロシアとつながりが深い「Conti（コンティ）」の活動実態が判明した。「ランサムウエア」と呼ぶウイルスで企業などのシステムを攻撃し回復させることと引き換えに1年半で100億円相当の暗号資産（仮想通貨）を奪取。645の仮想通貨口座で複雑に資金を移動させて追跡を逃れていた。人事や渉外など大企業並みに機能を分化した組織で攻撃を実行しており、サイバー犯罪が「ビジネス」化しつつある状況だ。

シンガポールの調査会社ダークトレーサーによると、世界で公表されたランサム攻撃の被害企業数のうち最多の約2割（824社）がコンティによるものだ。米政府は6日、コンティに対し最大1000万ドル（13億円）の懸賞金をかけた。

コンティ　企業にサイバー攻撃をしかけて身代金を脅迫する「ランサム攻撃」を行う集団。2020年5月から活動が確認されている。標的の電子ファイルをマルウエア（悪意のあるプログラム）で暗号化して使えなくし、解除と引き換えに暗号資産（仮想通貨）の支払いを求める。
パナソニックホールディングスのカナダにある子会社やアイルランドの公的機関など官民を問わず攻撃を実行。米政府は22年3月まで3回にわたりコンティへの警戒を国際社会に呼びかけた。

ランサム攻撃集団「コンティ」のロシア支持に反発したメンバーは、SNS上で内部チャットなどを漏洩させた
コンティは2月、ウクライナ侵攻でロシア支持の声明を出したが、ウクライナ支持のメンバーが反発。チャットアプリでの組織内の会話をネット上に流出させた。データの期間は2020年6月～22年3月。会話はロシア語で書かれ、約17万件、700万字分にも上る。

日本経済新聞はセキュリティー会社、三井物産セキュアディレクション（東京・中央）の吉川孝志・上級マルウェア解析技術者と協力しデータを分析した。実際に起きた攻撃の舞台裏がチャットに記され、使用されたウイルスのソースコード（設計図）が同時に流出したことなどから「チャットは本物のやりとりだ」と吉川氏を含む複数の専門家は見る。

コンティが活用した仮想通貨ビットコイン（BTC）の645口座には2321BTCが入金されていた。チャットが流出した22年3月時点の取引レートで118億円相当になる。重複分などを除くと、身代金の全額、もしくは一部と思われる外部からの入金は少なくとも1953BTC（99億6千万円相当）あった。

最も入金が多かった口座では、約2カ月間で一度に10億円弱の入金が複数回あった。流入した約30億円は細かく分割されて複数の別の口座へ移されていた。「短期間で資金を動かし捜査当局などによる身代金の追跡を逃れ、交換所や闇サイトでの現金化を狙っている」（吉川氏）

チャットに参画していた攻撃集団は総勢約350人。発言回数が1000回を超えたのは35人で、100回以下が全体の3分の2だった。一部の幹部メンバーの下、「渉外・広報」や「人事」など必要な機能を分業する。
プログラミングなどのスキルを持つ数百人の実行メンバーが、「ギグワーク（単発労働）」のように入れ替わり攻撃に参加する。犯罪への関与を知らずに参画しているケースもあるとみられる。報酬と引き換えにスキルを犯罪に提供する闇ビジネスが確立している。

チャットにはロシア連邦保安局（FSB）との関係をほのめかす投稿もあった。ウクライナ侵攻を巡る西側諸国の制裁でロシア経済が困窮すれば、コンティが活動を活発化させる恐れがある。

コンティの1年半の活動は無数のサイバー犯罪の氷山の一角だ。21年のランサムウエアの攻撃数は世界で約6億2300万件で前年から2倍超（セキュリティー大手の米ソニックウォール調べ）となった。最近ではトヨタ自動車のサプライチェーン（供給網）が攻撃を受け一時止まった。

セキュリティー大手のチェック・ポイント・ソフトウエア・テクノロジーズは事業上の損害や弁護士費用などの被害総額は、身代金の7倍程度になると試算する。被害は世界で急速に広がるが、捜査活動は追いついていない。結果、コンティのように犯罪集団が資本を蓄積し巨大化しているとみられる。

（日本経済新聞）