2012年3月20日(米国時間)、「Ministerstvo Vnutrennikh Del(MVD、ロシア内務省)」などにより、フィッシング詐欺を働いていた 8人の逮捕という朗報が届きました。米国の州立アラバマ大学バーミングハム校の Gary Warner 教授は、自身のブログ「Cybercrime and Doing Time」で、直接捜査協力していたセキュリティ企業とトレンドマイクロのリサーチャーが協働していた経緯も含めて今回の逮捕についての詳細を紹介しています。この逮捕劇については、Warner 教授のブログをご参照ください。
本ブログ記事では、民間セキュリティ業界の調査と法的機関の国際的な協力のもとサイバー犯罪者が逮捕された今回の好例について筆者自身の見解を述べます。このように法的機関とセキュリティ業界が協力する事例は、今後もさらに増え、そうした中、サイバー犯罪者はこれまでのように「法の手」から逃れられることも簡単ではなくなるでしょう。
サイバー犯罪者は、特定の国や管轄区域に潜伏したり、国際法の違いにより告発をうまく免れることができるとは思わないほうがよいでしょう。昨年 11月に報告した巨大ボットネット閉鎖や今回の事例からも、法的機関が国境の壁を超えてサイバー犯罪者まで及ぶことを証明しています。
Warner教授のブログでも言及されているとおり、トレンドマイクロ では、標的となった被害者が属する業界などの確認を中心に、数年前からボットネット「CARBERP」について詳しく調査してきました。その結果、政府系や産業系、学問系などかなり広範囲に及ぶ CARBERP の被害が発生しており、被害者の多くは、気づかないうちに彼らの銀行口座から引き落としがなされていました。
・CARBERP Sinkhole Findings
http://blog.trendmicro.com/carberp-sinkhole-findings/
・CARBERP Sinkholing Speculations
http://blog.trendmicro.com/carberp-sinkholing-speculations/
CARBERP に関連する不正プログラムは、金融機関の情報を狙うトロイの木馬型不正プログラムです。そして Windows 7 および Windows Vista に搭載されている「ユーザーアカウント制御(UAC)」の機能を事実上無効にし、管理者権限無しで自身をインストールする機能を備えています。
ボットネット「CARBERP」は、規模や利用頻度で見るとボットネット「Zeus」や「SpyEye」程ではありませんが、CARBERP が登場した 2009年後半以来、弊社ではこのボットネットが着実に増加傾向を示していることを確認しています(図1参照)。
 |
|
|
また、トレンドマイクロの遠隔測定調査の結果、CARBERP の感染分布地域は、およそ4分の1がドイツだったことも確認しています(図2参照)。
 |
|
|
今回の逮捕に対するロシア当局の尽力を称えるとともに、今後もこのような国際的協力の取り組みがサイバー犯罪被害の抑止力となることを期待しています。
参考記事:
by Paul Ferguson (Senior Threat Researcher)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)