ビジネスメール詐欺に「WannaCry」の格安販売、日本にも影響するアフリカのサイバー犯罪事情

トレンドマイクロでは法執行機関との協力も交え、世界のサイバーアンダーグラウンド状況を継続して調査しています。その中で、トレンドマイクロ独自の調査および国際刑事警察機構(インターポール)との協力により、アフリカのサイバーアンダーグラウンドの状況が明らかになってきています。中でも「ナイジェリア詐欺(別名:ナイジェリアの手紙、419 詐欺)」に代表される西アフリカのサイバー犯罪者は、現在日本も含めて世界的に被害が出ている「ビジネスメール詐欺(BEC)」と関連が深いことがわかっています。また、不正プログラムが廉価に入手可能な北アフリカから中東にかけてのアンダーグラウンドマーケットの特徴など、特に日本にも影響があると考えられる事例を紹介します。

■日本も狙う西アフリカからのビジネスメール詐欺

サイバー犯罪関連では「ナイジェリア詐欺」という用語がありますが、インターポールとの共同調査でも西アフリカのサイバー犯罪者はネット詐欺と関連が深いことがわかっています。以前の記事でも触れているように、特にナイジェリアを含む西アフリカの国々では、「Yahoo Boys」とも呼ばれる比較的若く技術的に未熟なサイバー犯罪者が「ナイジェリア詐欺」に代表される「前金詐欺」や「ロマンス詐欺(出会い系詐欺)」を、また、技術的に高度な「Next-Level」と呼ばれるサイバー犯罪者はより複雑で時間のかかる BEC や「税金還付詐欺」を行っていることがわかっています。

これら西アフリカのサイバー犯罪者が行うネット詐欺の中でも、特に BEC は日本にも大きな金銭被害が及んでいます。2017 年には日本国内でも BEC に関連した逮捕事例が複数報道されていますが、そのうちの 1 件はまさに西アフリカのナイジェリア国籍の男が容疑者でした。インターポールの西アフリカのサイバー犯罪者によるネット詐欺に対する調査では、西アフリカのサイバー犯罪者の多くが外国に居住し、詐取した金銭を受け取るための「出し子(英:Money Mule)」など詐欺に関わる違法な活動を支援していることがわかっています。この日本での逮捕事例もこの傾向と符合しており、日本が既に西アフリカのサイバー犯罪者の標的となっていることを表しています。

■西アフリカのサイバー犯罪者から見えたネット詐欺の攻撃手法

ネット詐欺の中でも、BEC では企業内のメールのやりとりを盗み見ることが詐欺の前提です。調査の中では BEC を行う「Next-Level」のサイバー犯罪者が使用する攻撃ツールも判明しています。その一つとして、「Predator Pain」、「Limitless」といった既成のキーロガーの使用が確認されています。このような既成のキーロガーはアンダーグラウンドマーケットでは $100 以下の価格で販売されていたり、無料で入手できることすらあります。BEC のための攻撃では電子メールアカウントの認証情報の窃取の他、感染した PC の画面のスクリーンショットの定期的な窃取といった攻撃先環境の情報収集に使用されます。


図 :キーロガー「Predator Pain」のコンソール画面例


図 :キーロガーを提供するアンダーグラウンドマーケットの例

サイバー犯罪者は攻撃対象から情報を盗むためにキーロガーを使います。しかし、トレンドマイクロの調査の中で、ネット詐欺に関与するサイバー犯罪者が誤って自らの端末にキーロガーを感染させてしまい、自らの情報を露出させてしまっている事例が確認されました。我々にとって幸運なことにキーロガーのログやスクリーンショットは誰でもアクセス可能なオープンディレクトリ上に保存されていました。これらの情報からはネット詐欺に関連するサイバー犯罪者が、

  1. 受信者を騙すソーシャルエンジニアリング手法のメールによりキーロガーや遠隔操作ツール(RAT)などの不正プログラムを感染させる
  2. 感染させた不正プログラムによりメールアカウントの認証情報などを窃取
  3. 窃取したメールアカウント情報などを利用してメールを監視
  4. 請求書を受信または送信したタイミングで、攻撃者が用意した銀行口座に振込先を変更するなりすましメールを送信したり、攻撃先担当者とメールで会話して振込を促す

という一連の攻撃を行っていることが裏付けられました。


図 :詐欺の標的に不正プログラムを感染させるための標的型メールの例


図 :サイバー犯罪者が感染端末から収集したパスワード情報を確認している画面例


図 :感染端末から収集したパスワード情報の画面例
標的となった人物は申し出の内容を確認したがっているが相手がなりすましであることには気づいていない

■「WannaCry」を $50 で販売する MENA のアンダーグラウンドマーケット

ネット詐欺を行うサイバー犯罪者が確認されている西アフリカですが、まだアンダーグラウンドマーケット(地下市場)の形成は確認されていません。しかし、トレンドマイクロによる独自調査では「MENA」と呼ばれる北アフリカから中東にかけてのアラビア語圏の地域における地下市場の状況が明らかになっています。調査からは MENA の地下市場は参加のハードルは高いものの、非営利主義的傾向が強く、様々な攻撃ツールが廉価もしくは無償で入手可能であることがわかりました。

これらの地下市場にアクセスするためには参加用のアカウントが必要です。参加用アカウントを取得するためには、ビットコインアカウントなどの用意に加え現地の言語で交渉する長いプロセスが必要です。これは開放的な北米の地下市場とは正反対であり、フランスなどの地下市場と似ています。英語を使用する地下市場もありますが、地域差があり限定的です。

その代り、地下市場の参加者は文化的慣習を同一にする者に対し友好的であり、非営利主義的です。MENA の地下市場では暗号化ツール、SQL インジェクションツール、キーロガー、不正プログラム作成ツールを含め、不正プログラムや不正コード、マニュアルなどは廉価で販売、もしくは無料配布すら見られます。トレンドマイクロの調査では、「WannaCry」が世界的に大規模被害をもたらした直後の 5 月 14 日時点で既に $50 で提供されていたことも確認できました。「WannaCry」は、全世界で 3 万台以上、日本国内でも
1500 台以上の検出が、登場以来毎月確認されるなど継続した攻撃が確認されています。その 1 つの背景として、このような地下市場での提供があるものと思われます。

このように、参加するサイバー犯罪者たちに様々な攻撃ツールを廉価、もしくは無料で提供する MENA の地下市場は、日本を含む全世界に影響を与えているものと言えます。


図 :ランサムウェア「WannaCry」の販売に関するアンダーグラウンドサイト上の投稿例

BEC に代表されるように、遠く離れたアフリカ地域からのサイバー犯罪が日本にも影響を与えていることは明らかです。地理的な隔たりから日本には関係ない他人事と思いがちですが、インターネットは世界を一瞬で繋げます。サイバー犯罪の流入や進出も容易になっていることを忘れてはいけません。特に日本では海外で流行した攻撃が時間差を経て流入するケースがよくあります。海外のサイバー犯罪者の動向から日本への影響を見出し、手口を知って対策に役立てていくことも必要な時代になっています。

トレンドマイクロでは、西アフリカや MENA のサイバーアンダーグラウンドに関して以下の英語レポートをまとめていますので、ご参照ください。

※記事構成:岡本 勝之(セキュリティエバンジェリスト)、松川 博英(Senior Threat Researcher)