HOME コラム一覧 ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 パート2 (その1 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 パート2 (その1 全4回)

その他
post_visual

Burgeoning Botnets! Understanding large-scale computer infections and data breaches, Part2 of 2

 本稿の筆者は、必ずしもACFE、その理事会、あるいは職員と見解を同じくするものではない。
FRAUDマガジン編集部

 パート2では、より多くのボットネットとマルウェア事件の史実を詳細に調べ、データ漏えいの原因となる要素と関係する統計数値を分析し、これらの邪悪な企みの犠牲者にならないための方策について考察する。
 2014年6月2日、連邦捜査局(FBI)は司法省(DOJ)との共同報告で、多国籍にまたがって取り組んできた努力が、もうひとつのボットネットの崩壊をもたらすことに成功した、と述べた(参照:”GameOver Zeus Botnet Disrupted”, http://tinyurl.com/npu3erw)。司法省は、この破壊に向けての作戦には、オーストラリア、オランダ、ドイツ、フランス、イタリア、日本、カナダ、ウクライナ、英国とその他の国々の法執行機関が参加したと発表した。
 この共同の取り組みはゲームオーバー・ゼウス(Game Over Zeus)と呼ばれた。これは、ネット犯罪者達がバンキング認証情報やその他の個人的な識別情報(PII)を感染したコンピュータから盗み取るために開発された非常に複雑なタイプのマルウェアだが、それと同じ名前で呼ばれた。ゲームオーバー・ゼウス・マルウェアに一度感染すれば、そのコンピュータはグローバル・ネットワークの一部分、つまり、まさにボットネット・システムとなり、ネット犯罪者達がスパムメールとフィッシングメッセージに紛れ込ませてそのマルウェアを拡散させるのに利用される。
 FBIの記事によれば、ネット犯罪者達によるゲームオーバー・ゼウス・マルウェアの使用が、世界中の個人や組織に約1億ドル以上もの損失をもたらしたということである。
 スパイアイ・マルウェアと同様に、ゲームオーバー・ゼウス・マルウェアによって取り込まれた顧客コンピュータのネットワーク・アドレスやその他重要な個人識別情報などのバンキング認証情報は、ネット犯罪者達が支配するサーバーに出力先を変更させられる。そして彼らはその盗んだ情報を使って犠牲者のコンピュータに侵入し、それらにゲームオーバー・ゼウス・マルウェアを感染させ、電信送金のあて先をネット犯罪者達が開設した海外口座に変更する。
 FBIは当初、そのボットネットを打ち壊すという難題にぶち当たっていた。FBIの記事によれば、「初期のゼウスが形を変えてきたものと違って、ゲームオーバー・[ゼウス・マルウェア・ボットネット]は分散化され、[スパイアイ・マルウェア・ボットネットに結び付けられている]中心点を起点とするというより、ピアツーピア(peer-to-peer)で指示命令を行う構造となっている。これの意味するところは、[ゲームオーバー・ボットネット内の]感染したコンピュータへの指示は別の感染したどのコンピュータからもできるようになり、それはボットネットの解体をより困難にさせる。だがそれは不可能ではない」
 この問題を解決するために、当局はピッツバーグの連邦裁判所に「感染したコンピュータ間の通信を切断し、これらのコンピュータの接続を犯罪者のサーバーから政府の管理下にある代替サーバーに変更させる対策」を講じることを承認する民事および刑事裁判所命令を出すように要求したとFBIの記事は述べている。
 この対策により、FBIはボットネット内にある感染したコンピュータの一つ一つのIPアドレスを割り出し、その情報を世界中のコンピュータ・レディネス・チームやインターネット・サービス・プロバイダ(ISP)に、代替コンピュータを使って送信することができるようになった。また、ISPや民間セクターの関係者たちは、犠牲者のコンピュータからゲームオーバー・ゼウス・マルウェアを取り除くことを支援した。これら2つの方策により、ボットネット・オペレーターが犠牲者のコンピュータに指示を出す能力が大幅に制限され、根本的にそのボットネットを解体することとなった。

プライバシー権情報センター (PRIVACY RIGHTS CLEARINGHOUSE)

 FBIはゲームオーバー・ゼウス・ボットネットの攻撃を妨害することができたが、プライバシー権情報センター(PRCH)の統計値では、外部のハッカーの行為やその他の要因に端を発する情報漏えいはすぐに無くなりそうにない。
 PRCHのウェブサイト(http://tinyurl.com/my9focp)によれば、PRCHとは「米国の消費者のプライバシーを守ることに献身する消費者への教育と擁護のための全国的に認知されている非営利団体」である。PRCHは2005年1月1日から2015年2月18日までの情報漏えい問題の重大さを指摘した。その「情報漏えい年表(Chronology of Data Breaches)」報告書では、4,488件の情報漏えいと8億1,100万個の漏えいされたデータ数が収集記録され、それらはPRCHと共同研究している情報ソースから情報漏えいの通知を受け取った時に日々更新されている。(詳しくは次のサイトを参照:http://tinyurl.com/2e5x7w6)

(その2に続く)
---------------------------------------
初出:FRAUDマガジン45号(2015年8月1日発行)

この記事の執筆者

Robert E. Holtfreter, Ph.D., CFE, CICA
ワシントン州エレンズバーグにあるセントラル・ワシントン大学の会計研究の特任教授(distinguished professor)。また、ACFE諮問委員会と編集顧問委員会のメンバーの一人である。

※執筆者の所属等は本記事の初出時のものである。

翻訳協力者:小黒恒成、CFE、USCPA、CIA、CGMA、CISA

関連リンク

不正リスク(バックナンバー一覧)

暴かれたコンドミニアム不正:「気楽な」コンドミニアム生活に潜むリスク (その1 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その1 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その2 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その3 全4回)

ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 (その4 全4回)

コラム
/column/2018/img/thumbnail/img_24_s.jpg
 本稿の筆者は、必ずしもACFE、その理事会、あるいは職員と見解を同じくするものではない。FRAUDマガジン編集部 パート2では、より多くのボットネットとマルウェア事件の史実を詳細に調べ、データ漏えいの原因となる要素と関係する統計数値を分析し、これらの邪悪な企みの犠牲者にならないための方策について考察する。 2014年6月2日、連邦捜査局(FBI)は司法省(DOJ)との共同報告で、多国籍にまたがって取り組んできた努力が、もうひとつのボットネットの崩壊をもたらすことに成功した、と述べた(参照:”GameOver Zeus Botnet Disrupted”, http://tinyurl.com/npu3erw)。司法省は、この破壊に向けての作戦には、オーストラリア、オランダ、ドイツ、フランス、イタリア、日本、カナダ、ウクライナ、英国とその他の国々の法執行機関が参加したと発表した。 この共同の取り組みはゲームオーバー・ゼウス(Game Over Zeus)と呼ばれた。これは、ネット犯罪者達がバンキング認証情報やその他の個人的な識別情報(PII)を感染したコンピュータから盗み取るために開発された非常に複雑なタイプのマルウェアだが、それと同じ名前で呼ばれた。ゲームオーバー・ゼウス・マルウェアに一度感染すれば、そのコンピュータはグローバル・ネットワークの一部分、つまり、まさにボットネット・システムとなり、ネット犯罪者達がスパムメールとフィッシングメッセージに紛れ込ませてそのマルウェアを拡散させるのに利用される。 FBIの記事によれば、ネット犯罪者達によるゲームオーバー・ゼウス・マルウェアの使用が、世界中の個人や組織に約1億ドル以上もの損失をもたらしたということである。 スパイアイ・マルウェアと同様に、ゲームオーバー・ゼウス・マルウェアによって取り込まれた顧客コンピュータのネットワーク・アドレスやその他重要な個人識別情報などのバンキング認証情報は、ネット犯罪者達が支配するサーバーに出力先を変更させられる。そして彼らはその盗んだ情報を使って犠牲者のコンピュータに侵入し、それらにゲームオーバー・ゼウス・マルウェアを感染させ、電信送金のあて先をネット犯罪者達が開設した海外口座に変更する。 FBIは当初、そのボットネットを打ち壊すという難題にぶち当たっていた。FBIの記事によれば、「初期のゼウスが形を変えてきたものと違って、ゲームオーバー・[ゼウス・マルウェア・ボットネット]は分散化され、[スパイアイ・マルウェア・ボットネットに結び付けられている]中心点を起点とするというより、ピアツーピア(peer-to-peer)で指示命令を行う構造となっている。これの意味するところは、[ゲームオーバー・ボットネット内の]感染したコンピュータへの指示は別の感染したどのコンピュータからもできるようになり、それはボットネットの解体をより困難にさせる。だがそれは不可能ではない」 この問題を解決するために、当局はピッツバーグの連邦裁判所に「感染したコンピュータ間の通信を切断し、これらのコンピュータの接続を犯罪者のサーバーから政府の管理下にある代替サーバーに変更させる対策」を講じることを承認する民事および刑事裁判所命令を出すように要求したとFBIの記事は述べている。 この対策により、FBIはボットネット内にある感染したコンピュータの一つ一つのIPアドレスを割り出し、その情報を世界中のコンピュータ・レディネス・チームやインターネット・サービス・プロバイダ(ISP)に、代替コンピュータを使って送信することができるようになった。また、ISPや民間セクターの関係者たちは、犠牲者のコンピュータからゲームオーバー・ゼウス・マルウェアを取り除くことを支援した。これら2つの方策により、ボットネット・オペレーターが犠牲者のコンピュータに指示を出す能力が大幅に制限され、根本的にそのボットネットを解体することとなった。
2018.02.05 09:54:42