- トレンドマイクロ セキュリティブログ - https://blog.trendmicro.co.jp -

アフリカにおける脅威全体像:サイバー犯罪の変遷と最新状況

Posted By Trend Micro On In サイバー犯罪,脆弱性,TrendLabs Report,Webからの脅威 | Comments Disabled

2000年代初め、アフリカは「ナイジェリア詐欺 [1]」で悪い評判を得ました。この詐欺は、ナイジェリアの高官と名乗る人物およびその家族を助けて報酬を受け取るために、ある金額を負担してほしいというものです。すべての詐欺がアフリカで起きたわけではないかもしれませんが、ナイジェリアの高官が詐欺に利用されたことは人々に強い印象を与えました。そのため、この詐欺は長い間アフリカ大陸を連想させるようになりました。

■抗議活動に利用される Webサイトの書き換え
「ナイジェリア詐欺」だけが、アフリカで行われるサイバー犯罪ではありません。Webサイトの書き換え [2]は、モロッコやアルジェリア、チュニジア、エジプトなどの北アフリカを代表するハッカー集団の間でよく行なわれるサイバー犯罪です。これらのハッカー集団は、米国やヨーロッパ、またセキュリティの弱い国の Webサイトを書き換えることを目的としています。ハッカー集団が発信するメッセージは、しばしば時事問題や彼らの信念に関連しています。この北アフリカのハッカー集団は、対抗手段として Webサイトの書き換えを行います。政治的な出来事が起きた際、ハッカー集団が他国の Webサイトを書き換えるのを目撃することは、珍しいことではありません。

トレンドマイクロでは、2013年4月、エイプリルフール [3]に起きた Webサイトの書き換えについて報告しました。「Algeria to the core」として知られるアルジェリアのハッカー集団は、ドイツやオーストラリアなどの Webサイトを書き換えました。Webサイトの書き換えは、セキュリティの弱い Webサイトの脆弱部分を突き、Webページのコンテンツを自分たちのメッセージに置き換える、古くからある攻撃手法です。

ハッカーたちは、自らの信念や抗議を伝えるために、Webサイトの書き換えを実行します。この手法はまた、さまざまな国のハッカー集団間で起こるサイバー戦争の活動の際にも利用されています。

■大規模化する攻撃:ボットネット、RAT、標的型攻撃の手法
アフリカのサイバー犯罪者は、Webサイトの書き換えから、より利益を生むサイバー犯罪に移行し始めています。例えば、ボットネットや、「Remote Access Tool(RAT)」、銀行や金融関連の不正プログラムを利用したサイバー犯罪です。

弊社は、2013年11月、ナイジェリアのある個人グループに関連した「Ice IX [4]」のサーバを複数確認しました。「Ice IX [5]」は、有名な「ZBOT」とともによく利用されるオンライン銀行詐欺ツールです。「Ice IX」は、オンライン銀行の認証情報や Eメールアドレス、ソーシャルメディアのアカウントに関連した情報を収集するのに利用されます。2014年1月、オンライン銀行の利用者を攻撃するためのツールキット「SpyEye [6]」に関連したユーザが逮捕されましたが、その主要人物の 1人は、別名「bx1」として知られるアルジェリアのサイバー犯罪者 [7]でした。「bx1」は、Webサイトの書き換えに関わった人物として知られていました。

図1:アルジェリアのサイバー犯罪者「bx1」によって実行された Webサイトの書き換え [8]
図1:アルジェリアのサイバー犯罪者「bx1」によって実行された Webサイトの書き換え

銀行および金融関連の不正プログラム以外に、サイバー犯罪者は「Blackshades [9]」といった RAT を利用したボットネット運用を始めています。「Blackshades」はツールキットとして販売され、パスワードやキー入力操作情報の収集、「分散型サービス拒否(DDoS)攻撃」の開始、感染PC上への不正プログラムのダウンロードおよび実行などを行います。「Blackshades」に感染した複数の PC はボットネットを形成し、DDoS攻撃や窃取した情報やドキュメントの販売に利用される可能性があります。

弊社ではまた、標的型攻撃キャンペーンの手法 [10]が利用されるようになっているのを確認しています。その 1つは、不正な添付ファイルを利用し、「CVE-2012-0158 [11]」といった既知の脆弱性を利用した攻撃を行い、「ZBOT」などの不正プログラムを侵入させる手法です。上述の「Blackshades」といった RAT を利用し、標的型攻撃キャンペーンのような攻撃を行います。

■アフリカ大陸を越えて
このようにサイバー犯罪が拡大しているのはアフリカだけではありません。弊社では、同様の傾向をインドでも確認しています。これは、利益を生むビジネスとして、より多くの人がサイバー犯罪に関わってきていることを意味しているかもしれません。上述した手法が利用されたということは、サイバー犯罪者の出自を追えるかもしれません。つまり、高い教育を受けながらも、雇用機会がない地域に生きる人々です。こうした人たちは、有り余る時間を使ってサイバー犯罪の技術を簡単に習得し、お金を稼ぐことができます。また、こうした国々では、サイバー犯罪関連の法律が整備されておらず、たとえ法律があったとしても施行が不十分なため、サイバー犯罪者の逮捕が困難になります。

こうしたサイバー犯罪の変遷からわかるように、サイバー犯罪者はいつでも新しい傾向や状況に適応し、新しい不正プログラムや標的型攻撃の手法を利用して攻撃を続けます。しかし、こうしたことは、サイバー犯罪者が新しい局面に移ってはじめてわかることです。今回は、彼らが標的型攻撃を行う集団の中心になった時でした。

参考記事:

  • Checking In On Africa: The Latest Developments in Cybercrime [12]
    by Trend Micro [13]

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 5月最終週に日本を襲った2つのWeb経由攻撃:「VAWTRAK」と「AIBATOOK」 [14]
    2. 徹底解析:大規模な水飲み場型攻撃で利用された「RATANKBA」 [15]
    3. 「Yahoo!」広告経由での感染事例、被害の分かれ目はパッチ管理とセキュリティ対策ソフト [16]
    4. IEゼロデイを確認。すべてのバージョンに影響 [17]