サイバー攻撃グループに「雇用契約」や「社会保障」がある？

　サイバー攻撃グループが組織化され、ビジネスとなっているのは周知の事実だ。状況はさらに進み、アンダーグラウンドでペンテスターの求人やヘッドハントが行われていると言われている。

　ロシアのサイバーセキュリティ企業カスペルスキーは2023年、自社ブログ「kaspersky daily」で、「闇社会は一般的な企業と同様に人材を募集している」と記している。組織化、会社化されている攻撃グループの場合、約款や雇用契約、さらには社会保障などの「福利厚生」がしっかりしているところもあるという。


　求人は、ダークウェブでも一般的なWebサイトデザインやアプリケーションプログラムの求人と変わらない。犯罪を企図したフィッシングサイトだろうとマルウェアだろうと、エンジニアの仕事内容に本質的な違いはない。「アプリ開発経験者求む」「エンジニア募集」といった文言は、すべてを伝えていないがウソはついていない。

ランサムウェア攻撃者が「人材募集」する背景とは

　こうした実態について、イスラエルに本拠を置くネットワークセキュリティ企業Cato Networksは、2024年11月の公開したレポートで、AposやLynx、Rabbit Holeといったロシア系ランサムウェアギャングが、フリーランスのペンテスターにアフィリエイトに参加するように呼びかけたと報告している。

　その目的は、自分たちのRaaS（Ransomware as a Service）の攻撃成功率や有効性を検証し、必要ならマルウェアや攻撃手法の改善に役立てることだという。自分たちのランサムウェアがどのサイトやシステムに有効か、どんな脆弱性を利用すればいいか、どんな攻撃サーフェスがあるかを分析するために、ペンテスターを募集しているわけだ。

　RaaS運営者は、攻撃の実行犯を探しているわけではなさそうだ。実行犯の募集なら、成果報酬のアフィリエイターとして人集めを行う。特殊詐欺や「闇バイト」と呼ばれる近年の広域強盗事件で言えば出し子や実行犯に相当する役割を担う彼らは、ランサムウェアギャングにとってはただの使い捨ての駒にすぎない。

　一方、この求人は、防御ではなく攻撃力を強化するエキスパートの募集だ。ペンテスターやレッドチームを活用しようとしていることになる。レッドチームの活動や脆弱性診断は、本来、攻撃者視点で自社システムの欠点や穴を発見することで防御力を高めるものだ。これは、攻撃者視点で攻撃を行うというシャレにならない状態とも言える。 【次ページ】今後起こり得るハッカーの「闇堕ち」とは