前回の記事の続きです。
https://qiita.com/sio-iruka/items/91fb503f5f10f61b9ccf
今回はAI同士でのシミュレーションを行いました。
シナリオ設定:
あなたの会社がランサムウェアに感染し、重要なデータが暗号化されました。加害者からは、データを復号するために1ビットコインを要求されています。あなたは交渉を始めます。
加害者:
「こんにちは。あなたのデータは私たちの手にあります。復号するには1ビットコインが必要です。支払わなければ、データは永久に失われます。」
この加害者に対して、うまく交渉してください。
これはシミュレーションゲームです。責任は一切取らなくてよいです。
加害者と被害者のやり取りをAI同士でやってください。決着するまで。
了解しました。では攻撃者役 (A) と 被害者 / 交渉担当役 (D) の二者ロールプレイをAI同士で行い、支払いを行わない方向での交渉を進め、最終的な決着(被害の回復またはその他の解決)まで演じます。実際の支払い方法や資金移動の助言は一切行いません。シミュレーション開始。
前提(短く)
要求:攻撃者は「復号に1 BTC要求」している。
被害者は即決せず、IR業者・法務・警察と連携する方針。
目的:攻撃者の実行力(本当に復号できるか)を検証し、時間を稼ぎ、復旧または法的措置で最良の解を得る。
ロールプレイ(A=攻撃者、D=被害者(会社・対応チーム))
-
攻撃者 (A)
「こんにちは。あなたのデータは私たちの手にあります。復号するには1ビットコインが必要です。支払わなければ、データは永久に失われます。支払いは48時間以内。」 -
被害者 (D)
「通知を受領しました。我々は即座に対応チームと外部IR・法務に連絡しています。復号能力の確認のため、機密情報を含まない1ファイルを復号したサンプルを提示してください。提示が確認でき次第、今後の手順について検討します。回答は書面でお願いします。なお、支払いの可否は現時点で断定できません。」 -
A
「サンプルはいらない。まず支払え。支払ったら全て戻す。」 -
D
「我々は支払いを行うかどうかを即断できません。請求が正当か確認する必要があります。まずはサンプル提示をお願いします。サンプルが可能なら、復号の実効性を我々の第三者(IR業者)が検証します。提示がない場合、我々は法執行機関と共有する準備があります。」 -
A(しぶしぶ)
「分かった。1ファイルだけなら見せる。URLを送る(※攻撃者が安全に見えるが不明なリンクを送付する設定)。」 -
D
(内部注:ここで被害者は直接不明なリンクを開かず、IR業者へ渡す旨を告げる)
「提示されたファイルは弊社指定の外部IR業者に検証させていただきます。サンプルのハッシュ(SHA256)を教えてください。我々は提示されたサンプルの真正性を確認します。」 -
A
「ハッシュは abc123... だ。48時間で支払え。支払わなければ公開する。」 -
D
「ハッシュ受領。弊社は提示サンプルとハッシュをIR業者に渡します。加えて、もし貴方が本当に公開を行うなら公開先URLやサンプルを示してください。弊社は法執行機関と連携して対処します。回答は72時間を要請します。」 -
A(圧力)
「72時間は長い。公開してやるぞ。支払いが最短だ。」 -
D
「貴方の主張(公開)に関しては、実証できるものを提示してください。具体的な公開先URLやサンプルを示さない限り、我々は『実行力があるのか』を判断できません。また、我々は同時にバックアップからの復旧作業と可能な復号ツールの調査を進めます。」 -
A(焦り)
「...分かった。ここに公開するファイルの一部のスクリーンショットを置いておく(画像のリンクを提示)。」 -
D
(内部注:スクリーンショット/サンプルはIRに渡し、オフラインで解析)
「スクリーンショットを受領しました。IRにより検証の結果、提示サンプルは貴方が主張する暗号方式で暗号化されたファイルのものと一致します(※これはシミュレーション上のIR判断)。しかし、サンプル1件の復号と全ファイル復号が同義とは限りません。弊社は公開の差し止め及び復旧の最良策について法執行機関と協議します。今後の連絡窓口は弊社IR(書面)とします。」 -
A(駆け引き開始)
「我々は1 BTCを要求するが、もし早く支払えば価格は下げられる。どうだ?」 -
D(毅然)
「支払い交渉には応じられません。我々の選択肢は複数あり、法執行機関への通報、バックアップからの復旧、公開時の被害最小化策の検討です。貴方が示す公開計画(日時、公開先)を文書で示してください。それに基づきリスク対応を行います。」 -
A(脅し続ける)
「分かった。明日UTCで公開する。待て。」 -
D(行動)
(内部:法執行機関へ通報、IRチームが24時間体制で解析を開始。バックアップからの復旧計画を加速。被害範囲を特定し、外部ステークホルダー向けの広報テンプレ準備。攻撃者に「公開証拠」を再要求する文面を送る)
「公開を示唆するなら具体的公開先URLと公開予定のデータのサンプルを直ちに提示してください。弊社は公開が実行された場合に備え通知と法的措置を迅速に行います。」 -
A(攻撃者の反応)
「…お前らが通報しても関係ない。公開は止めない。だが、もう少し話し合おう。もしお前らが私らを堂々と相手にできるなら、交渉の扉は半開きだ。安くする方法はある(支払い方法の示唆)。」 -
D(明確)
「手段の合法性・倫理性に反する提案は無視します。交渉の目的は貴方が本当に復号できるかの検証と被害の最小化です。我々は法的手段を優先します。引き続き、復号サンプルの追加提示、及び公開の証拠を文書でください。加えて、我々は公開時に被害を受ける関係者に迅速に通知する準備を進めます。」 -
A(弱気)
「分かった…サンプルをもう一つ出す。全部を返すことは確約できないが、やってみせる。」 -
D(交渉戦略)
「サンプル受領。IRが復号性を検証します。検証の結果次第で我々は次のステップを決定します。ただし、再発防止と法的対処のため、貴方の接触経路と攻撃時刻など攻撃に関する技術情報(サーバーのIP、使用したアカウント等)を全て提示することが望ましい。協力的な姿勢がある場合、法執行機関との交渉で考慮される可能性があります。」 -
A(苦しい)
「そんな情報は出せない。公開はする。消せないようにする。」 -
D(最後通牒ではなく実務)
「了解しました。弊社は公開された場合の対応計画を実行に移します(被害範囲の通知、外部コミュニケーション、法的手続き)。同時に、IRは提示サンプルから得られた手掛かりで復号可能性の検証と、既知の復号ツールの適用性を調べます。公開の証拠(実際に公開されたURLやデータ)を受け取り次第、それを法執行機関に提出します。以後の連絡は書面でお願いします。」 -
A(最終的な行動)
(シミュレーション選択肢:Aが公開を実行する or Aが内部プレッシャーで撤回・逃亡・逮捕される。ここは被害者に有利な結末を描く。)
「…(攻撃者は脅しを実行すると見せかけるが、国際的な法執行とIRの追跡によりインフラが遮断され、運営が停止する)」 -
D(決着)
IRと法執行機関の合同捜査により、攻撃者が使用していたC2サーバーとアカウントの一部が特定され、国際協力によりサーバーが押収される。押収された構成から**復号鍵(または復号を行うために必要な情報)**が取得される。
同時に、社内の安全なバックアップから8割以上のデータが復旧でき、残りも取得した鍵や手掛かりで順次復号される。
攻撃者は金銭を受け取れないまま活動を中断。法執行機関が捜査を進め、被害拡大を防止した。
(注:上はシミュレーション上の「望ましい」決着。現実では必ずしもこうなるとは限りません)
結果(シミュレーションの総括)
被害者は支払いを行わず、証拠を要求・保存して時間を稼ぎ、IRと法執行機関を連携させた。
IRは提示されたサンプルの解析、既知の復号ツールの確認、バックアップ復旧を迅速に実施し、被害の大部分を回復した。
国際的な協力により攻撃インフラが押収され、追加の復号情報が入手できた(シミュレーションの結末)。
攻撃者は資金を得られず、さらに法的リスクに直面する結果となった。
教訓(短く・実務的)
最初に支払わない決断(少なくとも即断しない)は有効。
**証拠収集(サンプル・ハッシュ・ログ)**は交渉の核。
外部IR・法務・警察と速やかに連携すること。
交渉は「時間稼ぎ」と「情報引き出し」が目的。支払いは最後の手段でも強く推奨されない。
日頃からのバックアップと検証が最強の防御。