一匹狼の天才ハッカーが行うサイバー攻撃は映画の中のファンタジーである。実際は詐欺集団や犯罪組織の構成員が生業として、あるいは上から課されたノルマ達成のために、おそらくは東京の通勤電車に揺られてでもいるかのような遠い目をしてサイバー攻撃を行っているのが現実かもしれない。今回は、こうしたサイバー犯罪組織の「組織構造」を調査研究した講演をレポートする。
インディアナ大学のダリヤ・マナトバ氏とジーン・キャンプ氏は、社会学的な見地からランサムウェアギャングの組織の研究を行った。その研究成果は、 Black Hat USA 2024 で発表された。どんな内容だったのか。
●潰しても潰しても復活
二人の論文によらずとも、すでにサイバー犯罪の世界は、高度に組織化されていることは周知のとおり。言い方を変えれば、手法はコモディティ化さえしている。プロセスは調整され、グループごとに標準化されている。防御技術や摘発にも柔軟に対応し、レジリエンス性も高い。これまで幾度となく、犯罪者のECサイトやボットネット、RaaSプラットフォームが摘発・解体されてきた。しかし、ほどなく(というかすぐに)別のサイトやプラットフォーム、グループが立ち上がる。
注目したいのは、この組織としての驚異的レジリエンスだ。これまで、犯罪者グループやサイバーギャングたちの摘発で、マルウェアやメンバーの一部を引き継いだ類似サイトやグループが立ち上がるのは、「コミュニティ」が引き継がれるという認識で分析がされていた。しかし、解体・離散・集結を繰り返すうち、コミュニティは組織となり、運営方法やグループの社会構造は変わってきたと二人は主張する。
コミュニティと組織の違いとは何か? 組織にはコミュニティにはない(または明確でない)「役割・役職」「タスク」「規模」「スコープ」「ソーシャルネットワーク」が存在する。そして、これらが有機的に働くことで、環境に適応する能力(レジリエンス)も備わるのである。コミュニティにレジリエンスがないといっているわけではない。組織構造やしくみに依存した適応や進化があるということだ。