サイバー犯罪者へ告ぐ:隠れることも、法の追及から逃れることもできない!

世界中で毎日、セキュリティ専門家やサイバー犯罪専門家が、サイバー犯罪者の不正活動や攻撃事例、そして、サイバー犯罪関連のフォーラムやネットワークを監視および研究しています。こうして、世界の人々がデジタル情報を安全に交換できるように貢献しているのです。


図:ゼロデイ脆弱性

トレンドマイクロは、ユーザに対する攻撃を未然に防ぐとともに、関連情報を収集し、サイバー犯罪対策組織および警察当局との情報共有も実施しています。

トレンドマイクロは、かねてから、ある特定のサイバー犯罪者を追跡してきました。ここでは、このサイバー犯罪者を「Mr. L」と呼ぶことにしましょう。「Mr. L」は、特にメキシコとチリの罪無きユーザを標的にしています。弊社で確認した最新事例によると、「Mr. L」は、いまだに、従来の手口を利用してデータや金銭の詐取を企んでいます。トレンドマイクロは、2011年3月中旬、稼働中の「コマンド&コントロール(C&C)サーバ」、さらに、カスタマイズされた「CrimePack Exploit Pack」を含む他の犯罪ツールも確認しました。また、「Mr. L」が過去に自身の犯罪行為で利用したボットネットを現在も利用していることが判明しました。

トレンドマイクロは、今回明らかになった詳細について既に警察当局と共有しています。とはいえ、ユーザは、送信者不明といった疑わしいEメールは開かずすぐ削除する、といった心がけを徹底してください。

■これまでのところ、何が分かっているのですか?
2010年9月、研究レポート『Discerning Relationships: The Mexican Botnet Connection』が公開され、特定のサイバー犯罪者のボットネットおよびツールキットの技術面に焦点を当てた報告をしています。

トレンドマイクロがこのレポートに関連する攻撃において最初に確認したボットネットは、ボットネット「Tequila」でした。その後、ボットネット「Mariachi」、ボットネット「Alebrije」、そして、Twitterを利用するボットネット「Mehika」と次々に確認されました。これらのボットネットはPHPスクリプトで記述されていることから、まとめて、「ボットネットPHPファミリ」として認知されています。

この攻撃は2010年5月に初めて確認され、メキシコで起こった4歳の少女の怪死事件ニュースに便乗、南米で一般的なオンラインバンキングの利用者がターゲットとなりました。「自宅の寝室で発見された少女の死の真相および少女の母親のヌード写真」が含まれているという偽ニュースを含むメールを受信。そして、不正なWebサイトに誘導され、不正なアプリケーションをダウンロードするように促されたのでした。

トレンドマイクロは解析を通じて、感染コンピュータをボット化するスクリプトに特定の言葉または用語が繰り返し使われていたことを確認しました。それらの語句は、解析当時は特に我々にとって大きな意味を持ちませんでしたが、何かが関連していると想像させます。

今回の攻撃について解析している間、また、稼働中であるC&Cサーバの割り出しを進めていました。その結果、「hxxp://www.botnet.BLOCKED.tk/Admin/」にホストされているC&Cサーバを確認。このURLから、C&Cサーバを操作するサイバー犯罪者について多くの情報が明らかになりました。例えば、ログインページでは、サイバー犯罪者自身のサービスを宣伝するように選択されており、また、そこから、サイバー犯罪者の名前やEメール、そして携帯番号などが明らかになったのです。

トレンドマイクロは、入手した彼の名前、2つのEメールアドレス、およびメキシコ第2の都市ハリスコ州の州都「Guadalajara(グアダラハラ)」市で登録されていた携帯番号でMr. Lを追い詰めたのです。

なお上述で説明したように、トレンドマイクロの規約に基づき、今回の犯罪活動に関連する情報はすべて、警察当局に提供しています。

■犯罪行為に手を染めようとしているすべての人々へのメッセージ 「してはいけない!!」
サイバー犯罪者たちは、隠れることも法の追及から逃れることもできないことを覚えておくべきです。

弊社は、Mr. Lについて以下の情報を把握しています。:
Mr. Lは、おそらく1987年生まれで、メキシコZapopan(サポパン)市在住。IT系専門学校「Netec」に通う生徒と考えられます。トレンドマイクロは、Gmailアカウントの詳細、Hotmailアカウントの詳細などを収集し、さらに、ソーシャル・ネットワーキングの詳細、写真、ニックネーム、および他の関連情報も入手しました。

ただしトレンドマイクロは、ある個人に特化した情報の詳細を保有しているとはいえ、それらの情報を公開する予定はありません。

■オンライン上の活動は、良し悪しは別として、必ず痕跡を残す、ということを心に留めておいてください。
トレンドマイクロでは、弊社製品/サービスを通じて、ご利用のユーザへ安全を提供しています。そして弊社は、今後もサイバー犯罪を監視および調査し、脅威からユーザを保護していきます。また、警察当局やサイバー犯罪対策組織と連携した取り組みも実施していきます。

参考記事:
A stark message to cybercriminals – You are not invisible. You are not beyond the law
 by Ranieri Romera (Senior Threat Researcher)

 翻訳:境田 英昭(Core Technology Marketing, TrendLabs)

Related posts:

  1. 日本国内にも広がるボットネットによる恐喝事件(DDoS攻撃)
  2. 情報収集型不正プログラム「ZBOT」に「SPYEYE」、ブラジルのオンライン銀行ユーザも攻撃対象に
  3. CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには?
  4. 「Blackhole Exploit Kit」の作成者逮捕とランサムウェア「CryptoLocker」の拡散との関連性