ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 パート2 (その3 全4回)
本稿の筆者は、必ずしもACFE、その理事会、あるいは職員と見解を同じくするものではない。
FRAUDマガジン編集部
いくつかの良いニュース (THERE’S SOME GOOD NEWS)
悪いニュースばかりではない。FBIは、新たな取り組みや実施計画を発動することにより、サイバーセキュリティを過去数年間で「最大の優先事項」とした、と述べている(http://tinyurl.com/mtpv4cr)。例えば、犯罪一掃のためのクリーンスレート作戦(Operation Clean Slate, OCL)に参画した人達は、より多くのひどい詐欺行為を壊滅させ、主要人物の逮捕や起訴がそれに続いた。さらに、FBIは、ゲームオーバー・ゼウスの破壊と同様の捜査活動を実施するために司法省や各種の国際機関とともに共同作業を行った。
これらの取り組みが実を結んだ。法執行機関は、世界中の犠牲者から何億ドルもだまし取った3つのよく知られた国際的なID窃盗関連の動きを阻止することに成功した。同様にこれらの不正行為の計画、拡散、推進の主要な原因となった主要ネット犯罪の首謀者数人を逮捕した。
最初のFBI捜査の成功事例、つまりスパイアイ・ボットネットの破壊は、Fraud Magazine 2015年3月/4月号に掲載のパート1で説明されている(邦訳は日本語版FRAUDマガジン44号に収録)。(http://tinyurl.com/m8mbpxu)本稿の冒頭で考察したゲームオーバー・ゼウスは二番目の成功事例であった。三番目に破壊したのはクリプトロッカー・マルウェア(Cryptolocker malware)に関わるものであった。
FBIによれば、米国とその国際協力パートナーは、犠牲者のコンピュータを勝手にロックしたうえ、それを解除させるための費用を請求するというランサムウェアの一つのバージョンであるクリプトロッカー・マルウェアで使われるコマンド・コントロール(C&C)サーバーを押収した。ゲームオーバー・マルウェアに感染したコンピュータは、通常このクリプトロッカー・マルウェアにも感染する。(参照:FBIレポート、http://tinyurl.com/npu3erw.)
このスキームでは、犠牲者は自分の重要なファイルがファイルをロックするという特別な秘密キーによって暗号化されているというポップアップ・メッセージをコンピュータ画面上で突然受け取り、犠牲者が300ドルから700ドル、あるいはそれ以上の身代金を払うなら、加害者は彼らが管理する遠隔のサーバーから解錠しファイルを復元するキーを伝えると約束する。
画面上に急にパッと現れるポップアップ・メッセージには、犠牲者に素早い決断を迫るため、秘密キーへのアクセス権はすぐに消滅すると書かれている。しかしながら、犠牲者が身代金を支払った後でも秘密キーは攻撃者のC&Cサーバーに残されたままで、多くの場合、ハッカーは犠牲者の暗号化されたファイルを解錠するためにそのキーを使わない。このケースで、犠牲者はそのファイルを復元することはできるかもしれない。ただしそれは犠牲者がバックアップをとっていた場合だけである。復元するには、犠牲者はまずコンピュータのハードディスクを洗浄(データ消去)しなければならない。これでスパイウェアやウイルスによってダメージを被ったコンピュータをほぼ完全に復旧させることができ、同様に他の不必要なファイルを消去することができる。
司法省は2014年7月11日、ゲームオーバー・ゼウス・ボットネットとクリプトロッカー・マルウェアへの破壊活動が進展している、と報告した。(参照:「司法省によるゲームオーバー・ゼウスとクリプトロッカー破壊に関する最新情報の発表」、“Department of Justice Provides Update on GameOver Zeus and Cryptolocker Disruption”, http://tinyurl.com/pyb6u8y)
司法省の介入により、ゲームオーバー・ゼウス・マルウェアに感染した大半のコンピュータは、もはやネット犯罪者達の管理下にはなく、裁判所の命令によって構築された代替サーバーによって情報のやり取りがされている。FBIがその代替サーバーから収集した情報では、ゲームオーバー・ゼウス・マルウェアに感染したコンピュータの数は31%減少したことが示されている。クリプトロッカー・マルウェアは中和され、他のコンピュータに伝染することはできない。
FBIによれば、もしあなたのコンピュータが以下のような状態であれば、ゲームオーバー・ゼウス、もしくはクリプトロッカー・マルウェアに感染している可能性がある。(http://tinyurl.com/npu3erw)
・コンピュータ・システムの動作が非常に遅い。
・カーソルがあなたの指示とは無関係に動く。
・銀行口座への無許可ログインや無許可の銀行振り込みがある。
・コンピュータのデスクトップ上に突然テキスト・ベースのチャットのウィンドウが現れる。
・コンピュータ内のあなたのファイルが開けられなくなり、ファイルを開くための身代金が請求される。
自分のコンピュータがゲームオーバー・ゼウス・マルウェアに感染しているのではないかと思う人は、国土安全保障省のゲームオーバー・ゼウス専用のウェブページ(www.us-cert.gov/gameoverzeus)にアクセスするべきである。
ヘルプ・ネット・セキュリティ(Help Net Security)のウェブサイトは2014年6月8日、ファイア・アイ(FireEye)とフォックスIT(Fox-IT)がクリプトロッカーの犠牲者のファイルを解錠するクリプトロッカー暗号解読(Decrypt Cryptlocker)と呼ばれる新しい無償サービスを始めたことを発表した。そのサイトにある「Decrypt Cryptolocker」をクリックするだけで必要な取扱説明にアクセスできる。(参照:「無償サービスがクリプトロッカーの犠牲者たちにファイルを取り戻させる」、“Free service helps Crypto Locker victims get their files back,” http://tinyurl.com/k2dqafw.)
(その4に続く)
---------------------------------------
初出:FRAUDマガジン45号(2015年8月1日発行)