欧州連合(EU)の法執行協力機関であるユーロポールは、年次インターネット組織犯罪脅威評価報告書を発表しました。この報告書は、主要な調査結果と、欧州の政府、企業、個人に影響を与える新たなサイバーセキュリティの脅威を示しています。しかし、これらの脅威は世界中の人々に影響を及ぼす可能性があります。報告書の主なテーマは、サイバー犯罪者の相互依存が高まっていること、サイバー犯罪の基本的な仕組みは技術的には変わっていないこと、そして暗号通貨の使用が継続的に増加していることと、ミキサーの利用が増加していることです。
ジャンプ先:
- サイバー犯罪者の専門知識の増加は共依存を強める
- 手口は変わらないが、技術は洗練されていく
- 難解な暗号通貨の動き
- サイバー犯罪対策に朗報
サイバー犯罪者の専門知識の増加は共依存を強める
ユーロポールによれば、サイバー犯罪の状況は、サイバー犯罪者間の複雑な相互依存関係の網に進化している。
コンピュータセキュリティと防御が進化するにつれ、サイバー犯罪も進化しています。インターネット上で詐欺を実行するには、様々な種類のコンピュータ知識が必要です。例えば、詐欺の種類によっては、ウイルス対策製品やセキュリティ対策製品では検出されないマルウェア、追跡不可能な安全なインターネット接続、企業のネットワークやメールボックスへの初期アクセス、効果的なソーシャルエンジニアリングコンテンツ、詐欺コンテンツのホスティングなどが必要になる場合があります。
これらすべてのニーズには、さまざまな分野に関する深い知識が必要です。そのため、多くのサイバー犯罪者が自分の知識を他のサイバー犯罪者へのサービスとして販売することを決定しています。
初期アクセスブローカーは、侵害したアクセスを他のサイバー犯罪者に販売し、彼らはそれをオンライン詐欺に利用します。また、IABは「ランサムウェア攻撃の要」とも言える存在であるとユーロポールは述べています。IABはランサムウェア集団に初期アクセスを販売し、集団はそれを使って企業システムに侵入し、ランサムウェアを実行する前にネットワーク内に侵入するのです。
Crypter の開発者は、悪意のあるペイロードやマルウェアを隠蔽し、セキュリティ ソリューションによる検出を困難にします。
カウンターアンチウイルスサービスは、サイバー犯罪者の間で非常に人気があります。マルウェア開発者や暗号化サービス提供者は、CAVサービスを定期的に利用し、バイナリを複数のアンチウイルスソリューションでスキャンしています。これにより、アンチウイルスエンジンによって悪意のあるコードとしてフラグ付けされた部分を特定できます。
仮想プライベートネットワーク(VPN)は、サイバー犯罪者が身元特定を回避するために提供しています。サイバー犯罪者の地下市場では、エンドツーエンドでトラフィックを暗号化し、法執行機関からの情報提供要請に一切協力しないことで匿名性を確保するVPNソリューションが数多く提供されています。
防弾ホスティングは多くのサイバー犯罪の中心であり、多くの犯罪者に利用されています。ユーロポールは、これらのホスティングサービスは「…顧客確認手続きや、犯罪行為を助長する顧客情報やメタデータの保管といった、広範な顧客監視活動を行っていない」と述べています。防弾ホスティングサービスは、メールアドレスの自動確認を除き、法執行機関に顧客情報を提供しません。最後に、ホスティングは一般的に複雑な国際ビジネスであり、サーバーが世界中の複数の地域に分散していることが多いため、扱いが難しい場合があります。
サイバーセキュリティ企業ImpervaのEMEA地域担当副社長、Andy Zollo氏がTechRepublicに語った。
多くのサイバー犯罪者が相互依存的なサービスを運営しているという事実は、サイバー犯罪業界がいかに複雑化しているかを示すさらなる証拠であり、組織がアプリケーション、API、そして機密データを保護できる統合的なセキュリティ戦略を整備する必要があることを示しています。しかし、その裏返しとして、サイバー犯罪者間の相互依存が深まっているということは、企業がサイバー犯罪のサプライチェーンのどの部分を遮断することができれば、セキュリティ体制全体に大きな影響を与える可能性があることを意味します。適切なターゲットを絞ったソリューションや取り組みが1つだけでも、悪循環を断ち切るのに十分な可能性があります。
手口は変わらないが、技術は洗練されていく
あらゆる種類のサイバー犯罪者は、ある時点で同じ方法で目的を達成します。最もよく使われる手法はフィッシングで、金融詐欺やサイバースパイ活動の出発点となることがほとんどです。
技術的な観点から見ると、手口自体は変わっていませんが、その方法はより洗練され、規模も拡大しています。欧州連合(EU)の規制強化により、窃取されたクレジットカード情報を利用した詐欺行為はより困難になり、サイバー犯罪者の標的はデジタルシステムよりもユーザーへと移行しています。
ユーロポールによると、リモートデスクトッププロトコルのブルートフォース攻撃とVPNの脆弱性悪用は、サイバー犯罪者が用いる最も一般的な侵入戦術です。フィッシングキットもまた、組織の規模や技術的専門知識に関わらず、サイバー犯罪者にとってますます入手しやすくなっています。
参照: TechRepublic Premiumのブルートフォース攻撃と辞書攻撃:ITリーダー向けガイド
難解な暗号通貨の動き
サイバー犯罪者は可能な限り暗号通貨を使用します。ランサムウェアグループは皆、専用の暗号通貨ウォレットで直接支払いを要求します。サイバー犯罪者間の異なるサービスに対する支払いも、常に暗号通貨で行われます。
サイバー犯罪者は、最終的に違法な利益を現金化する前に、通常、多層的な難読化技術を多用します。仮想通貨ミキサー(複数のユーザーの仮想通貨を混合するサービス)は、資金の出所と所有者を難読化するためによく使用されます。これらのミキサーは、捜査官が資金の流れを効果的に追跡することを困難にします。
もう一つの一般的な手法は、仮想通貨スワッパーです。これは、ある仮想通貨から別の仮想通貨への即時取引を可能にするため、資金の出所を特定するプロセスをさらに複雑にします。さらに、国の変更や分散型取引所が難読化に利用されます。これらの仮想通貨難読化技術は、資金の流れを追跡し、調査を成功させる高度なスキルを持つ捜査官を必要とします。
ユーロポールは、ミキサー、暗号通貨スイッチ、スプリットが頻繁に使用される複雑な暗号通貨の事例を示しています (図 A )。
図A
図Aに示す分散型金融(Decentralized Finance)のハッキングでは、暗号通貨Binance Coinが盗まれ、ブロックチェーン間での価値移動を可能にするプロトコルであるRen Projectに送られます。その後、Binance CoinはBitcoinに変換され、ミキサーに送られて2つに分割され、Ren Projectに戻ります。片方ではBNBに変換され、もう片方ではEthereumに変換されます。EthereumはTornado Cashミキサーを通過し、再びEthereumに変換されます。
サイバー犯罪対策に朗報
サイバー犯罪者がすべての詐欺行為を一人で行っていた時代は終わりつつあります。サイバー犯罪者は効率性を重視し、自ら行うよりも熟練した仲間にサービスを依頼する傾向があります。これはサイバー犯罪対策にとって朗報です。なぜなら、サイバー犯罪のある側面でサイバー犯罪者を逮捕すれば、他の側面にも影響が及び、より多くの詐欺行為を阻止できるからです。
例えば、ユーロポールは、逮捕に至った国際的な作戦がいくつか成功したと報告しています。その一例として、2022年にVPNLabが停止されました。VPNLabの多くのユーザーは、ランサムウェア集団に侵入された企業のドメインに接続するためにこのサービスを利用していました。この停止は、1つのサービスを停止させることが捜査の進展にいかに役立つかを示しました。
もう1つの例は、2022年のOperation Elaborateで、自動対話型音声応答、ワンタイムパスワードの傍受、通話のライブ監視を提供するサービス全体をダウンさせ、142人の容疑者を逮捕した。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
