ダークサイド (英: DarkSide) は、ランサムウェアと恐喝を使用して被害者から身代金を奪うハッカー集団である。グループ名だけではなく、彼らの使用するランサムウェア自体の名前も指す[1][2][注 1]。ロシアまたは東ヨーロッパを拠点にしていると推測されており、コロニアル・パイプライン
(英語版)や東芝へのサイバー犯罪を行った犯行グループとして知られる[3][4][5][6]。ダークサイドは運営する自身のサイトで「非政治的」な組織と主張している[7]。ダークサイドは東ヨーロッパ、おそらくロシアに拠点を置いていると考えられているが、著名な他のハッカー集団とは異なり、ロシアの諜報機関が直接運営しているとは考えられていない[5][8]。同グループも「我々を特定の政府と結びつけて、動機を探す必要はない」と否定している[9]。
セキュリティ専門家は、このグループは「ロシアで増殖・繁栄している数多くの営利目的のランサムウェアグループの1つ」であり、ロシア当局から暗黙の承認を受けており、外国をターゲットとする限り、その活動を容認されていると述べている[8]。
分析会社チェイナリシスによると、暗号資産犯罪においてロシア圏が「大きなシェア」を占めているという。2020年はロシア製のランサムウェアによる被害額が全体の86%、2021年は92%を占めていると推計している[10]。
FBIのレイ長官は「最近のランサムウエア攻撃は、FBIが調査中の約100種のランサムウエアのほんの一部にすぎない。100種のランサムウエアが、米国で発生した複数のランサムウエア攻撃に関与している。そしてロシアは、多くのランサムウエア犯罪に携わる者の温床となっている」と発言している[11]。 ダークサイドの使用するランサムウェア「DarkSide」は、システムの言語設定をチェックすることで、特定の地域にいるターゲットを回避している。除外リストには、独立国家共同体(ソビエト連邦の崩壊時に、ソ連を構成していた15か国のうちバルト三国を除く12か国によって結成された国家連合体)の12カ国の言語に加えて、シリアのアラビア語が含まれている[12]。 この言語チェック機能は、ランサムウェアのインスタンスを構築する際に無効にすることができ、そのようなバージョンの1つが2021年5月に観測された[13]。 ファイア・アイによれは、ダークサイドはこれまでに15カ国以上の企業や組織を狙って攻撃をしており[14]、トレンドマイクロの調査によると、2020年8月から2021年4月までの間に、「DarkSide」が世界で800台弱検出されている[15]。ダークサイドが最も標的としている国はアメリカであり、500件以上検出されている。それから、フランス、ベルギー、カナダと続く[16]。なお、同期間の日本での検出台数は3台と非常に少なかった[15]。 マカフィーが観察した25か国のうち攻撃の影響を受けたデバイス数(100万台あたり)が多いのは、イスラエル(1573.28)、マレーシア(130.99)、ベルギー(106.93)、チリ(103.97)、イタリア(95.91)、トルコ( 66.82)、オーストリア(61.19)、ウクライナ(56.09)、ペルー(26.94)、アメリカ(24.67)の順である[17]。
ターゲット
イメージ戦略