サイバーセキュリティ最新動向 ~ 企業を狙った最新手法とは 2

前回に引き続き今回のブログでは、本年6月22日に開催された「@ITセキュリティセミナー東京会場」で、シングテル傘下の北米最大級のマネージドセキュリティサービス・プロバイダ「Trustwave」が行った講演内容から、企業を狙った主要なセキュリティ侵害と最新のサイバーセキュリティ動向についてお届けします。

サイバー犯罪

そもそも、サイバー犯罪はなぜ起こるのでしょうか?
Trustwaveがアンダーグラウンド社会(※)を対象に行った独自調査によると、例えば、セキュリティ犯罪で非常に価値が高い情報と言われている「医療記録」の場合、情報入手の為に100万円を投資すると、そのリターン(報酬)は1,425万円にもなり、非常に高い価格で取引されています。アンダーグラウンド社会は、外国だけではなく日本にも存在しています。顧客の実名と口座番号が実際に売買されていたり、日本語でハッキングの情報をやり取りしているサイトも実在しています。それだけ、情報が高額で売買されており、その情報をもとに詐欺が行われているのです。その実例について、2016~2017年にかけてTrustwaveが突き止めた海外の主要なインシデントを紹介します。

※インターネット上では、表には出せない様な裏(違法・非合法行為)の世界、及びそれを扱ったサイトのこと

ロシアのサイバー犯罪グループ、Carbanak(カルバナク)

Carbanakとは、ロシアの有名なサイバー犯罪グループで、2013年から活発に活動を始めています。当初はロシアを拠点として、アメリカや中国を攻撃対象に活動していました。アメリカのFBIは、幾度となくロシア側にCarbanakのサイバー犯罪グループの検挙および解明に協力要請を行なっていましたが、ロシアは自国の企業が被害を受けていなかったため、調査をしていませんでした。ところが2015年、ロシアの銀行がCarbanakの攻撃を受けたため、ロシア政府も調査を行ない始めました。その結果、2016年6月にCarbanakのメンバー50人が一斉検挙されました。それでもCarbanakは崩壊せず、わずか1ヶ月後に米Oracle社のPOSクレジットカード決済システム「micros(ミクロス)」が侵害され、大量のクレジットカード情報が盗まれました。

侵入方法

ロシアの銀行へのサイバー攻撃は、どのような侵入経路だったのでしょうか?
サイバー犯罪グループとロシアの銀行との最初の接触は、銀行ではなく、Adam Kronzと名乗る人物がホテルの予約代理店にメールを送ったことに始まります。そのメールは「当社の社員がパリに行くので、従業員のリストと好みの部屋のタイプをまとめたExcelを確認してください」という一般的な内容でした。最初、代理店側はそのメールを開いていませんでしたが、メール送信から数分後にサイバー犯罪グループが予約代理店に直接電話をかけてきたことがきっかけで、代理店のパソコンに潜入されてしまいます。サイバー犯罪グループは、事前にソーシャルメディアを使って代理店の背景情報を調査していました。サイバー犯罪グループはロシアの架空の会社のURLとウェブサイトを使用して、代理店に悪意のあるマクロが含まれている(.vbsスクリプトが添付された)MS Wordファイルを意図的にダウンロードさせ、マルウェアに感染させたのです。悪意のあるマクロが含まれているスクリプト(プログラム)は、金融情報を標的としてGoogle Docsから密かに情報を抽出したものでした。サイバー犯罪グループは、事前調査や架空のサイトなどの用意など、綿密な計画の元に実行されています。
Trustwave社の解析により、このサイバー攻撃では合計17ものマルウェアが様々な用途で使われていたことが明らかになりました。特徴は、悪意のあるマクロが含まれている(.vbsスクリプトが添付された)MS Wordファイルデータのバイナリソフトに正規のデジタル署名がなされていたため、アンチウィルスシステムを通過できてしまったのです。

通常であれば、デジタル・フォレンジック(「デジタル鑑識」のようなコンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術のこと)はここで終わりますが、当時としては非常に大きな事件であったことから、犯罪の背景を調査するために、事件に使用されたウェブサイトやWhois情報などが調べられました。その情報は、FBIやインターポールの捜査情報として採用され、このサイバー犯罪の最終報告のために使われました。捜査の結果、InfoKubeというロシアのセキュリティプロバイダが事件に関与しているこがと突き止められましたが、InfoKube社は事件との関わりを正式に否定しています。InfoKube社は、依然として開業中であり、同社のウェブサイトも開設されていることから、今後のさらなる捜査の行方が注目されています。

旧ソ連の銀行での事件

Carbanakは、大量のクレジットカード情報を盗む事件の他にも、2016年から2017年に渡り、数千億円規模の金銭を盗んでいます。この事件は、物理攻撃とサイバー攻撃の2段構えで成り立っています。

(第1段階)犯人グループは、ロシアの片田舎の銀行口座を持っていない農民が多い地域で、農民に少額でキャッシュカードとデビットカードを作らせて、発行されたキャッシュカードを全員分集めて海外に送る。
(第2段階)銀行のバルネラビリティを調べ、エクスプロイットキットを突いて侵入する。
ここでのポイントは、①銀行のハッキングは終わっているということ、②しかし、銀行から直接お金を抜くことはしないこと、③デビットカードは銀行が管理しているのではなく、クレジットカード会社にアウトソースされているということ、です。

犯人グループは、侵害した銀行のネットワークからクレジット会社に侵入して、サードパーティのプロセッサを侵害しています。優良顧客用に貯金額以上の使用枠が設けられていることを悪用して、物理攻撃ステージで作らせたデビットカードの利用限度額を取り払ったのです。これで、海外各国に送っておいたキャッシュカードの存在が意味を持ちます。そして、各国の出し子たち(詐欺で口座に振り込まれたお金を引き出す役割の人)を使って、同時刻一斉にATMからお金を引き出しました。農民がカードを作った時点では口座にお金はほとんど入っていませんでしたが、利用限度額が取り払われていたので、初日だけでも1000万米ドル規模のお金が盗られてしまいました。(1000万ドル=11億680万円。110.68ドル/円 2018年6月29日現在:現在、最終被害額を集計中)

最適なソリューション

シングテル及びシングテルの子会社であるTrustwaveでは、侵害の対策をするための脅威検知や、脅威検知とインシデントレスポンスの間で行うマネージドEDRサービス(MDRe: 最新のEDRテクノロジーによるエンドポイント保護)を使って、振る舞い検知(インシデントレスポンスまでを行うサービス)を提供しています。サイバー脅威検知・インシデントレスポンス・マネージドEDRという組み合わせのマネージドセキュリティソリューションにより、高レベルでのセキュリティ対策を実現できます。

近年、ますますサイバー犯罪が悪質化しており、従来のセキュティ対策だけではなく、現在のサイバー犯罪を分析することで、さらに進んだセキュティ対策が必要です。

最新のセキュリティ侵害とサイバーセキュリティの動向に関する詳細は、Trustwaveが調査した最新の『グローバルセキュリティレポート2018』をご覧ください。