米国南東部の石油パイプラインを襲ったハッカー攻撃の背後にはCIAがいる -

米国南東部を走る石油パイプラインの「コロニアル・パイプライン」が、5月7日（金曜）、ハッカー集団である「ダークサイド（DarkSide）」のランサム・ウェア攻撃（身代金ウイルスによるサイバー攻撃）を受けて創業停止に追い込まれた。その影響で、米国の南部から東海岸にかけてガソリン価格の高騰が続いている。

しかし、「ダークサイド」に身代金として約500万ドル（約5億5000万円）が支払われたと報じられてすぐに、同ハッキング・グループは組織を解散しオペレーションを閉鎖する予定であると、5月14日（金曜）、ウォールストリート・ジャーナル紙が報じた。

東欧もしくはロシアを拠点とすると考えられている「ダークサイド」の運営者は、現在、自分たちのコンピュータにアクセスできず、サイバー攻撃を実施することができなくなっているという。セキュリティー・リサーチ会社のFireEye社によると、このハッカー集団に近い関係者たちは、米国からの国際的な圧力を理由に、「ダークサイド」は解散するだろうと語ったという。

以下は、FireEye社の公式ツイッターが投稿したメッセージ：

https://twitter.com/FireEye/status/1393245934809755649

【訳】「ダークサイド」の発表で、彼らは、ブログ、決済、CDN（コンテンツ配信ネットワーク）サーバなどの自前のインフラへのアクセスができなくなっており、彼らのサービスを終了すると語った。（身代金を）支払っていない企業に対しては復号プログラムが提供され、場合によってはそれら企業の関連先に配布される。（2/3）

https://twitter.com/FireEye/status/1393246198371336193

【訳】この発表では、この決定を行った理由として、法執行機関の圧力と米国からの圧力を挙げている。（FireEye社の）@Mandiantはこれらの主張を独自に検証しておらず、他の当事者たちからは、これは「出口詐欺」ではないかとの憶測も出ている。（3/3）

Recorded Futureの「サイバー脅威情報アナリスト」であるドミトリー・スミリヤネツ氏は、「ダークサイド」が自前のサーバのコントロール権限を失い、ランサム攻撃で受け取った支払いの一部を失ったと語っている：

「数時間前、我々は自分たちのインフラの公開部分に対するアクセスを失った。それはつまり、ブログ、決済サーバ、DOSサーバだ。現在、これらのサーバはSSH（セキュア・シェル）を経由しても利用不可能であり、ホスティング・パネルもブロックされている」と、「ダークサイド」によるランサム・ウェアの運営者であるDarksuppは語っている。

Darksuppは、決済サーバからすでに仮想通貨を引き出しており、それを彼・彼女自身と他のメンバーたちとの間で配分するとも報じられている。

しかしこのハッカー集団が突然解散すると発表したことは、非常に大きな疑念を抱かせるものである。わずか500万ドルの身代金の獲得に成功したくらいで、優秀なハッカー集団がこうも易々と解散するだろうか？

5月13日（木曜）、ジョー・バイデンは次のように発表している：

責任ある国々はこれらのランサムウェア・ネットワークに対して断固とした行動を取ることが必要であることについて、ロシア政府と直接連絡をとっており、彼らの活動能力を停止させるための対策を追求する。

今回の攻撃にロシア政府が関与していると我々は考えていないが、この攻撃を行った犯罪者たちはロシアに居住していると信じる強力な理由を我々は持っている。攻撃はそこから行われた。

しかし、「ダークサイド」が実在するハッキング・グループであると誰もが信じているわけではない。中には、「ダークサイド」が、ならず者集団であるCIAのハッカー要員たちの正体を隠すための「隠れ蓑」であると考えている人たちがいる。

サイバー・セキュリティー会社カスペルスキーの創設者であり、元CEOであるナタリア・カスペルスキー氏は、ロシアの国有通信社であるRIA Novostiとのインタビューの中で、CIAのハッカーたちがコロニアル・パイプラインへのハッキング攻撃の背後にいると爆弾発言を行っている。同氏の発言を、5月14日（金曜）、RT Newsが報じている。

カスペルスキー氏によると、CIAのサイバー・インテリジェンス・センター傘下の「リモート開発部門」に所属する「Umbrageチーム」は、電子機器に侵入する際、（CIAとは無関係の）外部のハッカーの姿に変装し、外部のハッカーの「指紋」を残すことができるという。

ウィキリークスが、2017年にこの「Umbrageチーム」を白日のもとにさらした。当時、USA Today紙は、CIA工作員が 「ロシアを含む外部のハッカーたちのハッキング手法の一覧を収集・作成していた可能性があり、その手法を自らのスパイ活動中に利用することでCIAは自らの正体を隠すことができたのではないか」と報じている。

カスペルスキーは、さらに次のように語っている：

このUmbrageチームが偽装しているハッカーグループの出身国は、ロシア、北朝鮮、チャイナ、イランである。・・・そのため、今回の攻撃を実行したハッカーグループがロシア出身であるとは確実には言えず、ロシアから、あるいは他の国からの挑発ではないとも確実に言うことはできないのである。

さらに以下のような情報がツイッターに投稿されており、謎は深まるばかりである・・・

https://twitter.com/oracleofomega/status/1393231671470829572?s=20

【訳】「ダークサイド」のハッカーたちは、仲間たちに対して閉鎖すると伝えた：ダウジョーンズ報道

・・・（このハッカーたちは今頃）ビーチに座って、ステーキングされたイーサリアムで20％の利益を得ている

そして、（体験）本の出版契約も間近だろう。

＋＋＋

（emilyの返信ツイート）

彼らは実在していなかった。（ダーク・ウェブ上で）見つけられる限りのあらゆるハッカー向けTorフォーラムでハッカーたちに話を聞いたけど、彼らは全員、口をそろえて同じことを語った——政府の組織だってね。REvilやDoppelpaymerは、実在するハッキング・グループ。ダークサイド？そんなものはかつて一度もTOR（ダーク・ウェブ）に存在したことはなかった。