コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

米行政機関がデータ公開阻止に約100万ドル支払い、Kairosの恐喝事例を分析

米国の行政機関が、盗まれたファイルの公開を防ぐため、攻撃者グループ「Kairos」に約100万ドルを支払ったとする事例分析が公開されました。この攻撃では端末やファイルの暗号化は確認されておらず、窃取した情報を公開すると脅して金銭を要求する「データ窃取型恐喝」だった可能性があります。

The Hacker News:U.S. Government Entity Paid Kairos $1 Million in Data-Theft Extortion Case

この記事のポイント

影響のあるシステム

  • 住民情報、職員情報、法務資料、財務情報などを保管する米国の行政機関のネットワーク
  • 多要素認証が導入されておらず、パスワードだけで外部からアクセスできるシステム
  • 住民記録、法務、人事、財務などの機密情報が同一ネットワーク上に集約された環境
  • 大量のファイルや数TB規模のデータを外部へ送信できる端末およびサーバー
  • 一時的なファイル共有サービスへの通信を十分に監視していない組織
  • 情報窃取後の恐喝やデータ公開への対応手順を整備していない組織

推奨される対策

  • 外部から接続可能なアカウントに多要素認証を導入する
  • 短時間に繰り返されるログイン失敗やパスワード推測の兆候を監視する
  • 通常より大きな外向き通信や、大量のファイル読み出しを検知する
  • 業務で使用していない一時ファイル共有サービスへのアクセスを制限・監視する
  • 住民情報、法務、人事、財務などの機密データを他のネットワークから分離する
  • データ流出が発生した場合の公表方針、関係者への通知、捜査機関との連携手順を事前に策定する
  • 攻撃者が提示する「削除証明」を、データが消去された客観的な証拠として扱わない
  • 支払いを検討する場合は、法務、経営、捜査機関、専門家を交えてリスクを評価する

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • データ窃取型恐喝:組織から情報を盗み、公開や販売を行うと脅して金銭を要求する攻撃です。ファイルを暗号化しない場合もあります。
  • ランサムウェア:一般には、ファイルやシステムを暗号化して使用不能にし、復旧と引き換えに金銭を要求するマルウェアや攻撃を指します。
  • リークサイト:攻撃者が被害組織の名称や窃取データを掲載し、支払いを迫るために使用するWebサイトです。
  • ブロックチェーン分析:暗号資産の取引履歴を追跡し、資金がどのウォレットやサービスへ移動したかを調査する手法です。
  • ウォレット:ビットコインなどの暗号資産を受け取り、保管し、送金するために使用される仕組みです。
  • 多要素認証:パスワードに加えて、認証アプリやセキュリティキーなど複数の要素で本人確認を行う仕組みです。
  • ネットワークセグメンテーション:機密性や用途に応じてネットワークを分割し、侵害された端末から重要システムへ容易に移動できないようにする対策です。

暗号化せず、盗んだ情報の公開を材料に約100万ドルを要求

Ransom-ISAC向けにRakesh Krishnan氏がまとめた事例分析によると、米国の行政機関は、攻撃者グループ「Kairos」が窃取したファイルを公開しないことと引き換えに、約100万ドルを支払ったとされています。分析には、流出したとされる交渉チャットと、ブロックチェーン上に残された暗号資産の取引履歴が使用されました。

この事例で特徴的なのは、端末やサーバーを暗号化するプログラムが確認されていない点です。復号鍵の代金を要求する一般的なランサムウェア攻撃とは異なり、Kairosは盗み出したデータを公開すると脅して支払いを求めました。Krishnan氏の調査では、Kairosがコンピューターをロックした証拠や、暗号化ツールを使用した形跡は確認されなかったと報告されています。

被害組織の名称は事例分析では明示されていません。ただし、攻撃者が提示した窃取証明のファイル名に「Union」を含む名称があり、被害側が自らを限られた予算で運営する小規模な郡と説明していたことなどから、米オハイオ州ユニオン郡との関連が指摘されています。攻撃者は「prosecutors office」と記されたフォルダについて、公開されれば犯罪者が訴追を回避するために利用できる可能性があると主張し、被害側へ圧力をかけました。

ユニオン郡は2025年5月、ネットワーク上でランサムウェアを検知したと発表し、その後、住民や職員など45,487人の情報が盗まれたと通知しました。対象となった情報には、社会保障番号、財務情報、指紋、旅券番号などが含まれていたとされています。ただし、ユニオン郡とKairosの双方は、今回の約100万ドルの支払いとの関係を確認していません。そのため、事例分析が示す被害組織とユニオン郡が同一であるかは、元記事公開時点では確定していません。

300万ドルの要求から1カ月かけて交渉

流出した交渉記録によると、Kairosは当初、2TBを超えるデータと約160万件のファイルを保有していると主張し、300万ドルを要求しました。被害側は10万ドルから交渉を開始し、その後、25万5,000ドル、43万ドルへと提示額を引き上げています。一方、Kairosは要求額を200万ドルまで下げた後、最終条件として100万ドルを提示しました。最終的に要求額を3分の1(300万ドル→100万ドル)に値切れたように見えて、実際には被害者側の初手(10万ドル)の10倍をむしり取られており、攻撃側の交渉戦術の巧妙さがうかがえます。

交渉は約1カ月にわたって行われ、攻撃者は支払期限やカウントダウンを設け、応じなければ機密性の高いフォルダから公開すると繰り返し警告しました。こうした期限設定や段階的なデータ公開の脅しは、被害組織の意思決定に時間的な圧力を加え、要求を受け入れさせるために用いられる手法です。

被害側は2025年6月13日、最初に提示した金額の10倍に当たる約100万ドルを支払ったとされています。実際の送金額は約9.44BTCで、当時の価値でおよそ100万ドルでした。ブロックチェーン上の取引を追跡した結果、資金は受領から数時間以内に二つへ分割され、複数のウォレットを経由して、暗号資産交換サービスBybit、OKX、ロシアのサービスとされるBELQIに関連した入金アドレスへ移動したと報告されています。

ただし、ブロックチェーン上の資金追跡によって判明するのは、暗号資産がどのアドレスやサービスへ移動したかという事実です。ウォレットを実際に管理する個人や組織の身元が、そのまま特定できるわけではありません。取引所などへ資金が移動した記録は捜査上の手掛かりになりますが、攻撃主体の特定には、事業者への照会や他の技術情報との照合が必要になります。

攻撃者が渡した「削除証明」はデータ消去を保証しない

支払い後、Kairosは被害側へ「proof of deletion」とされるファイルを渡しました。しかし、その内容は窃取したファイルの名称を並べた一覧であり、攻撃者が過去にデータを保有していたことを示すにとどまります。元のファイルや複製物が、攻撃者の端末、クラウドストレージ、他の協力者の環境から完全に削除されたことを証明するものではありません。

データ窃取型恐喝では、暗号化されたシステムを復旧できるかどうかとは異なる問題が生じます。暗号化型ランサムウェアでは、復号ツールが正常に動作するかを限定的に確認できる場合があります。一方、一度外部へ複製されたデータについて、被害組織が攻撃者側の保存状況を監査することは困難です。攻撃者が削除したと主張しても、別の場所にバックアップが残されている可能性や、第三者へ販売・共有されている可能性を排除できません。

支払いによってリークサイトでの公開を一時的に止められたとしても、将来の再恐喝や第三者による悪用を防げる保証はありません。また、攻撃者が約束を守るという前提そのものが、犯罪者から提供された情報に依存しています。元記事では、窃取データを消去させるための支払いは攻撃者を信用する行為であり、その証明書も攻撃者自身が作成したものにすぎないと指摘されています。

企業や行政機関は、支払いの有無にかかわらず、流出した情報が今後も悪用される可能性を前提に対応する必要があります。影響を受けた本人への通知、認証情報の変更、不正利用の監視、法令や契約に基づく報告、捜査機関との連携などを進めることが重要です。攻撃者の削除宣言を理由に、情報漏えいへの対応や監視を終了するべきではありません。

暗号化しない恐喝も「ランサムウェア」と呼ばれる時代に

今回の事例は、一般にランサムウェアと呼ばれる攻撃の形態が変化していることを示しています。被害組織が事件をランサムウェアとして公表していても、実際には暗号化処理が行われず、窃取データの公開だけを材料に金銭を要求する場合があります。攻撃者にとっては、暗号化ツールを開発・展開しなくても、機密情報を取得できれば恐喝が成立するためです。

元記事が引用したSophosの2025年の調査では、ランサムウェア攻撃のうち暗号化を伴った割合は約半数まで低下し、過去6年間で最も低い水準だったとされています。攻撃グループの中には、暗号化を完全に省略し、データ窃取と公開の脅しだけを使用する例もあります。Contiから派生したとされるSilent Ransom Groupは、米国の法律事務所や金融機関を対象に、暗号化を伴わないデータ窃取型恐喝を続けてきたと報告されています。

Kairosの交渉経過も、過去に流出したランサムウェアグループの内部記録と共通する特徴があります。2025年2月に流出したBlack Bastaのチャットでは、150万ドルの要求に対して被害側が10万ドルを提示し、最終的に100万ドルを支払ったとされる交渉が確認されました。2022年に流出したContiの内部情報なども含め、研究者はこうした記録から、攻撃者と被害組織が実際にどのように金額や期限を交渉しているかを分析しています。

Kairosのリークサイトは現在アクセスできない状態で、最後に確認された被害組織の掲載は2026年6月だったとされています。一方、Kairosに関連するとされるウォレットでは、2026年5月まで資金移動が確認されました。リークサイトが停止しているからといって、攻撃グループが解散したとは限りません。別の名称やインフラで活動を再開したり、過去に得た資金を移動したりしている可能性も考慮する必要があります。

日本の自治体や中小組織が確認すべき対策

Kairosは交渉の中で、パスワードを推測して侵入したと主張したとされています。この説明が事実であるかは確認されていませんが、外部から接続可能なシステムをパスワードだけで保護している場合、認証情報の漏えいや推測によって侵入されるリスクがあります。VPN、リモートデスクトップ、クラウドサービス、管理画面などには多要素認証を導入し、単一のパスワードが破られても侵入できない構成にすることが重要です。

監視では、短時間に繰り返されるログイン失敗、普段とは異なる地域や端末からの認証、大量のファイル読み出し、数GBから数TB規模の外向き通信などを確認する必要があります。元記事では、Kairosがファイルの移動に「temp.sh」のような一時ファイル共有サービスを使用したとされています。業務で使用していないファイル共有先への通信は、プロキシやファイアウォールで遮断または警告の対象とすることが有効です。

住民情報、法務資料、人事記録、財務情報などを同じネットワークへ集約している場合、一つのアカウントや端末が侵害されただけで、複数部門の情報へ到達される可能性があります。機密性の高いシステムをネットワーク上で分離し、利用者や端末ごとにアクセス範囲を限定することが求められます。大量取得が必要な操作には追加の承認や監視を設けることも検討すべきです。

また、情報漏えいが発生してから公表内容を検討すると、事実確認や関係機関との調整に時間がかかります。自治体や企業は、住民・顧客への通知、メディア対応、捜査機関への相談、個人情報保護当局への報告などを含む広報・対応計画を事前に準備しておく必要があります。攻撃者との交渉や金銭の支払いだけに注目せず、侵入経路の封鎖、被害範囲の調査、再発防止、情報を窃取された本人の保護を一体として進めることが重要です。

参考文献・記事一覧

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)

弊社サービスをご利用いただいたお客様の声

大規模リニューアルのリリース判断を支えたセキュリティリスクの客観的な整理(ニッポンインシュア株式会社)

ニッポンインシュア株式会社

Cloud Insureの大規模リニューアルに伴い、CyberCrewのセキュリティ診断・ペネトレーションテストを導入したニッポンインシュア株式会社様の事例をご紹介します。

事例の詳細を見る

決め手はコスパと柔軟性、投資対効果の高いセキュリティ検証(ソースネクスト株式会社)

ペネトレーションテスト

ソースネクストの導入事例。圧倒的なコストパフォーマンスと、準備工数を最小限に抑えた柔軟なペネトレーションテストの成果を公開。

事例の詳細を見る

安心感をもたらしたペネトレーションテスト活用(株式会社ハンモック)

ペネトレーションテスト

株式会社ハンモックにおけるペネトレーションテストの導入事例です。ペネトレーションテストを活用し、安心感のあるセキュリティ対策を実現した取り組みをご紹介します。

事例の詳細を見る

社内負荷を最小限に抑え、実効性あるセキュリティ体制を構築(株式会社FUNDINNO)

ペネトレーションテスト 株式会社FUNDINNO

株式会社FUNDINNOにおけるペネトレーションテストの導入事例です。社内負荷を最小限に抑えながら、実効性のあるセキュリティ体制を構築した取り組みについてご紹介します。

事例の詳細を見る


Page Top