大学生 Zachary Shames は、2017年1月13日、米国バージニア州の連邦地方裁判所で、キーロガー「Limitless Logger(Limitless)」を作成した罪状を認めました。「Limitless」は、数千に及ぶパスワードや銀行の認証情報など、ユーザの個人情報を窃取するために利用されたマルウェアです。また、「Business E-mail Compromise(ビジネスメール詐欺、BEC)」で利用されるキーロガーとして知られており、アンダーグラウンド市場で 35米ドル(約4,000円、2017年1月20日現在)という低価格で販売されていたこともありました。トレンドマイクロの脅威リサーチ部門「Forward-looking Threat Research(FTR)」は、2014年11月、「Limitless」について明らかにしたリサーチペーパーを公開し、このキーロガーがどのように数千に及ぶユーザから情報を収集するために利用されたかについて説明しています。トレンドマイクロは、その公開に先立って、作成者が Shames であることを断定できる詳細情報を米連邦捜査局(FBI)に提出しました。このブログ記事では、リサーチペーパーには言及されていなかった「弊社がどのように手がかりをつかんだか」について詳しく説明します。
バージニア州東部地区の米連邦検事局によると、バージニア州のジェームズ・マディソン大学コンピュータ科学部に在籍する 21歳の学生 Shames はコンピュータネットワークへの侵入ほう助の罪で起訴されました。Shames は、情報収集する機能を備えた不正なソフトウェアなどを開発し 3,000以上のコピーを販売したことを認めました。それらのコピーは、1万6,000台以上の PC を感染させるために利用されました。これは、「Title 18 of the United States Code, Section 1030(a)(5)(A) and 2(日本語訳:合衆国法典第18編第1030条(a)の(5)の(A)と2)」に違反しています。
FTRのリサーチャ数名は、2014年7月、市販されている 2つのキーロガー「Predator Pain」と「Limitless」について調査を開始しました。この両キーロガーが、著名人を狙った攻撃を含む多くの攻撃の侵入段階に利用されているのを確認したからです。
当時の調査では、「Limitless」は他のツールと並んで標的型攻撃関連キャンペーンに広く利用されていました。攻撃による影響を最も受けた国は、マレーシア、インド、オーストラリア、デンマーク、そしてトルコでした(図1)。
図1:「Predator Pain」と「Limitless」が影響を与えた国分布
調査時、攻撃に関与した一人が主にマレーシアを狙い東南アジア諸国を攻撃対象としていた傾向が確認できます。
図2:Limitless Logger ビルダ
「Limitless」は、市販のキーロガーに共通する多くの機能を備えており、気づかれないようにキー入力を記録する機能、セキュリティ制御を無効にする機能、アカウントのパスワードを回収してライセンスを持つ攻撃者に送信する機能が含まれています。“hackforums[.]net” のフォーラムで販売されていたこのソフトウェアは、有効期限なしのライセンスが 35米ドルという価格もあって人気を呼び、中でも「ビジネスメール詐欺(BEC)」を実行するアフリカ人サイバー犯罪者グループの間で特に普及しました。「Limitless」のようなツールが購入可能であれば、BEC や類似した手口において大いに役立つことが証明される結果となりました。BEC の手口ではしばしば、外部公開されているメールアドレスを収集しておき、それらの宛先へビジネス関連の Eメールを送信することが含まれます。これらの Eメールのメッセージには通常キーロガーが含まれており、収集した情報を、Eメール、FTP、または PHPスクリプトによるコントロールパネルを経由して、サイバー犯罪者に送信します。
図3:「Mephobia」による Hackforums への投稿
トレンドマイクロは、ツールのユーザについての調査と共に、その背後にいる作成者について調べました。なお、弊社の他の調査では、別件の「国際刑事警察機構(インターポール)」と「ナイジェリア経済金融犯罪委員会(EFCC)」の連携による、ビジネスメール詐欺の首謀者逮捕につながっています。作成者のアカウント名による Hackforums へのいくつかの投稿から、初期の段階で以下のことが判明しました。
- 「Mephobia」が「Limitless」のプロジェクトを引き渡したのは 2014年 1月で、彼の大学での最初の学期が終了した時期であった
- 作成者による販売広告には Skypeアカウント、PayPalアカウントなど連絡先の詳細が含まれていた。彼はまた、「Github」、「Photobucket」、およびコードの投稿がある「Pastebin」など他のさまざまなアカウントを有しており、「Limitless」のプロジェクトが「Mephobia」(あるいは「HFMephobia」。HFはHackforumsの意)という名前につながりがあることを示していた
- 「Pastebin」のコードには別の Skypeアカウントが記載されており、その Skypeのプロフィールには、ワシントンDC の住所と、誕生日である可能性のある日付が記載されていた
これまでの調査から、「Limitless」より前から存在する、「Reflect Logger」やオンラインゲーム「Runescape」用キーロガーといった初期のマルウェアのプロジェクトの中に、ニックネーム「Mephobia」の存在が確認されました。
「Mephobia」というユーザ名はまた、他の調査の手がかりにもなりました。特に、ハッキングフォーラムで外部に流出したさまざまな SQLインジェクションのダンプファイルの中に確認されました。そのようなデータの信頼性と妥当性を検証することは困難ですが、ニックネームと関連する同じ Eメールアドレスが繰り返し利用されていると、少なくとも、実際に関係のある可能性が大きいと推測できます。「Mephobia」は、フォーラムでのこれらの情報流出を通してハッキング技術を修得し、また、Hackforums でのコミュニケーションの大部分に利用していた Gmailアカウントではなく、より個人的な Eメールアドレスを利用していました。1つのアカウントには「RockNHockeyFan」というニックネームを利用していました。
このニックネームは、次に、いくつかの他の Webサイトへと導きました。特に「Quizlet」というオンライン学習サポートサイトのプロフィールでは、ニックネーム「RockNHockeyFan」がZach Shamesとつながりました。また、Runescape のゲームのフォーラム 「Sythe.org」への投稿ともつながりました。「Z3r0Grav1ty」というニックネームを持つユーザが、Runescape のアカウントを窃取するためのツールを宣伝しているのが確認されました。トレンドマイクロのマルウェアデータベース内に、「Mephobia」という文字列を含む同じ名称のツールが確認されています。その投稿には 2つの連絡先が記載されていました。1つはニックネーム「RockNHockeyFan」が含まれる AOL のアカウント、もう1つは MSN のアカウント “zman81895[@]live[.]com“ です。ここから、次に、Zach または Zachary Shames という名前に関連づけられた複数のソーシャルネットワークのプロフィールが導き出されました。
トレンドマイクロは、容疑者「Mephobia」の本名を検証するため、彼についてのこの新しい情報を手にした上で、Hackforums への投稿について 2度目の検査を実施しました。果たして 2012年 1月の投稿に、現在は閉鎖された「Mephobia」のアカウントから彼自身の本名 Zach Shames を明らかにしているチャットのログが確認できました。
図4:本名「Zach Shames」を明らかにする「Mephobia」
この情報により、FTRチームは、2014年、容疑者の居住するワシントンDC に所在する FBI の事務所宛に詳細な調査報告書を送付しました。大学の寮で「Limitless」を完成させる以前、バージニア州北部で高校に通っていた当時キーロガーの初期バージョンを開発したことを認めた Shames は、現在、禁錮 10年の最高刑に直面しています。Shames の判決は 2017年 6月16日に予定されています。
「Limitless」は、高価でもなければ、巧妙に細工されているわけでもありません。しかし、その程度のマルウェアでも壊滅的な影響を与えられることを明らかにしています。また、今回の事例は、このようなツールを作成すれば現実社会へ影響を与え非常に重大な結果を招くことを、若い世代の専門家が十分理解するとともに、その才能を、世界をより安全にするために役立てるよう奨励するための機会となるでしょう。最後に、FBI と協力する FTR の取り組みは、法執行機関との提携へのトレンドマイクロの継続的な責任を表しています。最終的に官民協働によってのみ本当に「安全にデジタルインフォメーションを交換できる世界の実現」に近づけることを示す、法執行機関と民間企業のパートナーシップの価値を再度認識させる事例となりました。
参考記事:
- 「Not so Limitless after all: Trend Micro FTR Assists in the Arrest of Limitless Author」
by Trend Micro Senior Threat Researchers
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)