2017 年 5 月、サイバー犯罪者の活動を支援する不正なウイルス検索サービス「Scan4You」を運営していた主犯格の 2 名、Ruslans Bondars および Jurijs Martisevs 両容疑者がラトビアで逮捕され、米連邦捜査局(FBI)によって米国に送還されました。この逮捕の後、Scan4You はサービスを停止しています。ヴァージニア州連邦裁判所は、2018 年 5 月、この 2 名に対し有罪判決を下しました。
トレンドマイクロの脅威リサーチ部門「Forward-Looking Threat Research(FTR)チーム」は、2012 年に Scan4You の調査を開始し、2014 年以降は、この件を担当する FBI の捜査官と密に連絡を取り合ってきました。弊社は、問題のサービスが停止するまで、調査から得られた知見を 5 年以上にわたって FBI に提供してきました。
■Scan4You とは?
Scan4You は、サイバー犯罪者が作成した最新のマルウェアが、主なアンチウイルス(AV)エンジンによって検出されるかどうかを確認する「カウンターアンチウイルス(Counter Antivirus、CAV)」サービスの 1 つです。サイバー犯罪者は、自身が作成したマルウェアの検出率を下げるために、マルウェアに微調整を加えながらこのようなサービスを利用してテストを行います。これにより、より効果的にサイバー攻撃を実施することが可能になります。
Scan4You のような CAV サービスを停止に追い込むことは、新しくサイバー犯罪に手を染めようとしている攻撃者の参入をより困難にする予防措置であると同時に、このようなサービスを利用する熟練したサイバー犯罪者に対しては、攻撃活動を容易に行わせない、またその費用を増加させる手段にもなります。何より、直接的なサイバー犯罪ではないとしても、それを助長するような活動も逮捕や起訴に繋がるという強いメッセージをアンダーグラウンドのサイバー犯罪者に対して発信することになります。
■Scan4You 運営者はその他のサイバー犯罪活動にも関与
サイバー犯罪者は、信頼できる CAV サービスを選んでそれを使用します。そのため、Scan4You の運営者がサイバー犯罪者からの評判を確立していたとしても驚くことではありません。Scan4You 運営者の活動は遅くとも 2006 年には始まっており、最も長く続いているサイバー犯罪ビジネスのいくつかへの関与が確認されています。
彼らは、CAV サービスの運営の他に、「Eva Pharmacy」として知られる薬剤詐欺グループにも関わっていました。Eva Pharmacy は、薬剤詐欺グループの中では最も古くから活動している集団の 1 つで、迷惑メールと検索エンジン最適化(SEO)を利用した綿密なマーケティングによって処方薬を違法販売することで悪名をはせています。他にも、彼らは「SpyEye」や「ZeuS」のようなオンライン銀行詐欺ツール(バンキングトロジャン)の拡散にも加担していました。Scan4You は、ラトビアのインターネット・サービス・プロバイダ(ISP)の企業ネットワークを利用していたことが確認されており、逮捕され有罪判決を受けた運営者の 1 人、Bondars はラトビアのソフトウェア開発会社で働いていました。この会社は、誤解を招くような広告による詐欺だとして罰金を科されたものも含め、さまざまな Web サイトに関与していました。
■Scan4You の活動を解析
Scan4You では各セキュリティベンダーの製品を使用し、スキャン結果を得ていたものと考えられます。トレンドマイクロ製品ではスキャン時に必要な情報をトレンドマイクロのサーバに問い合わせたり、フィードバックしたりする機能があります。Scan4You ではこれらの機能のうち、スキャンしたファイルに関するフィードバック機能は停止されていました。しかし、URL、IP アドレス、およびドメインのレピュテーションチェックについては停止されていませんでした。このため弊社では、2012 年以降 Scan4You の活動に関して大量の情報を収集することができました。マルウェア作成者は、通常、新しい攻撃活動の開始直前に、利用するランディングページやコマンド&コントロール(C&C)サーバのレピュテーションを Scan4You でチェックします。弊社は、このようなレピュテーションチェックを解析することで、多くの事例において、不正なドメインの情報を入手することに成功しています。
これは「VirusCheckMate」や「AVDetect」のようなその他の主要 CAV サービスも同様です。ファイルスキャン以外のフィードバック機能、URL、IP アドレス、およびドメインのレピュテーションチェックについては弊社が確認できる状態になっていました。これらのレピュテーションチェックの利用状況から、各 CAV サービスの市場シェアを推測することができます。Scan4You は数年間にわたって既知の CAV サービスの中では最も利用されていたサービスと言えました。
図 1:各 CAV サービスの URL スキャン利用状況(2015 年)
(クラウド型次世代セキュリティ技術基盤「Trend Micro Smart Protection Network™」のデータに基づく。サンプルデータのため縦軸は省略)
■法執行機関への積極的な協力
Scan4You は、トレンドマイクロが CAV サービスを停止に追い込んだ 2 つ目の事例です。弊社は、Scan4You の API を利用する中規模の CAV サービス「Refud.me」に関する捜査でも法執行機関への協力を行いました。Refud.me の運営者は 2015 年に逮捕され、2018 年に有罪判決が下されています。
Scan4You は既知の CAV サービスの中では最大のサービスでした。同サービスの停止後、利用者の多くが、現在もサービスを継続している唯一の主要な CAV サービス VirusCheckMate に乗り換えることが予測されていましたが、弊社のデータでは、2017 年 5 月以降、VirusCheckMate における Web レピュテーションチェック利用量の顕著な増加は確認されていません。このことから、Scan4You のユーザのほとんどは、公開されている CAV サービスの利用を停止したと考えられます。
Scan4You の運営者、Bondars および Martisevsの逮捕は、アンダーグラウンドのサイバー犯罪者に対する重要なメッセージとなりました。つまり、罪の無い人々に被害を与えるマルウェアの作成や拡散だけが犯罪ではないということです。今回の逮捕に結びついた FBI と弊社による数年間の取り組みにより、あらゆるものがインターネットにつながろうとしている今日の世界を守る上で、もう一歩前進することができました。
アンダーグラウンドにおける最大の CAV サービス Scan4You とその運営者、そして Scan4You に関連したその他のサイバー犯罪に関するより詳細な調査結果は「The Rise and Fall of Scan4You(英語情報)」を参照してください。
参考記事:
- 「Operators of Counter Antivirus Service Scan4You Convicted」
by Trend Micro Forward-Looking Threat Research Team
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)