本投稿は2部構成の前半パートで、Raj Samani(ラージ・サマニ)、Christiaan Beek(クリスティアン・ビーク)、およびShane Shook(シェーン・シュック)が執筆を担当しました。
マルウェアを拡散したいですか? 最も効果的な方法の1つは、ボットネット、つまり感染したシステムのネットワークを利用することです。ボットネットが使われる目的は、10年以上前に私たちが初めてボットネットに遭遇したときと、ほとんど変化していません。サイバー犯罪との戦いは、一方が新しい技術で追い越すともう一方がまた追い越す状況であり、しばしばいたちごっこにもたとえられます。ボットネットの進化も全く同じことが言えます。
ボットネットには、家庭用コンピュータにスパムやウイルスなどを送りつけて困らせる一般的なもののほか、企業を標的として膨大なデータを誰にも気づかれずに抜き取り、巨大な利益を獲得するための攻撃を支援するものもあります。これらの攻撃には盗まれた認証情報が利用され、認証情報が入っている被害者のシステムをリアルタイムで見ながら(または操作しながsら)実行されます。攻撃者はこれらの攻撃を通して、実際には内部の人間ではないのに、マルウェアに感染した組織の内部情報を閲覧して、検知されることなく、金銭的な利益をもたらすデータをコントロールすることが可能になります。
このシリーズは2部構成で記述します。この前半部分ではボットネットの進化について考察し、後半のパート2では具体例として、新しい攻撃モデルが盛んに利用されていることを紹介します。
ボットネットの進化
もともと、ボットネットワークは、犯罪的な攻撃を可能にするために、できるだけ多くのノード情報を収集することを目的に、開発・使用されていました。
従来のボットネットでは、以下に示すようなシステムへの侵入やデータの取得に重点が置かれていました。
- システムのリモートコントロール
- サービスの中断/DoS攻撃
- 個人情報の窃取(ID/個人のクレジット情報/銀行情報)
時が経過するについて、ボットネットは以下のような他のサービスとの統合が始まりました。
- 「ドキシング(個人情報をウェブ上で公開する、いわゆる「晒し」)」/カタログの作成/盗難データの販売
- ニーズに応じて企業システムを標的・アクセス可能にするプロビジョニング
- 第三者の作成したマルウェアをシステムにインストールする(遠隔操作ツールやランサムウェア)
さらに、現在のボットネットは、以下のようなマネージドサービスを提供しています。
- 匿名の通信、ルーティング、パブリッシング
- 加入者のネットワークや登録コンピュータのアクセス管理
- ヘルプデスクサービス含む24時間365日対応の技術サポート
- 支払いサービス(電子決済や「仮想」通貨による取引)
- 「ダークウェブ」の製品やサービス向けのマーケット
ボットネットの背後にいる「ボットマスター」はこれらのサービスによって、個人的な収益を得るのみならず、さらに大きく組織的な攻撃ができるようにしています。
インテルセキュリティは、今後5年間のサイバーセキュリティ市場の動向およびサイバー犯罪者の予測などをレポートした『McAfee Labsレポート 2016年の脅威予測』を最近公表しました。このレポートでは、サイバー犯罪で私たちが全く予測していなかった姿、つまりサプライヤー、マーケット、サービスプロバイダー(「サービスとしてのサイバー犯罪」)、融資、および取引システムを持ち、関連するビジネスモデルが急増しているという、成熟した業界に変貌しつつあることを紹介しています。
しかし、この変化(良くいえば進化)は、主にボットネットの製品化でした。つまりボットマスターがサービス加入者を持ち、加入者が機密情報をリクエストしたり、保護されている機密情報を閲覧したり、利用することが可能となっています。顧客ニーズや需要は変化するので、ボットネットのサービスは需要に応じるために進化していきます。これらのサービスへの支払いはしばしばビットコインによって行われます。
従来のボットネットは「オーナー自身が運営」していましたが、経済的な成功や評判が高まるにつれて組織化していきました。ボットネットは、ボットマスター自らがサービス内容を決定する段階から、サービス購入者が製品やサービスを要求する形に変化したことで、顧客中心主義的な業界に進化しました。サービス購入者が違えば関心も異なりますが、現在一般的には、ボットネットは、以下のようなマルウェアタイプに分類されます。
- 個人情報泥棒タイプは、ほとんどの場合スパムやフィッシング行為経由で消費者を標的にします。そして、認証情報や他の個人情報を探して、IDや個人のクレジットカード、銀行口座、および金融取引情報窃盗を容易にします。
- 企業情報泥棒タイプは、企業の従業員や役員を標的とし、一般的にソーシャルエンジニアリング的な手法を使ったフィッシングにより、人事部門をターゲットに従業員情報や認証情報(およびコンピュータへのアクセス方法)を盗み出し、金銭的な不正行為(ERP/ACH/EFT)や窃盗を手助けします。
- マーケット情報泥棒タイプは標的型のフィッシング、つまり特定の業界の閲覧者がよく訪問するWebサイトの広告経由で感染させる「水飲み場型攻撃」などの高度なマーケティング技術、もしくはソーシャルメディア経由のリクエストや招待による、ユーザー同士の信頼できるつながりを作るビジネスネットワーキングサービスを経由して拡散します。このタイプは、一般的に上場企業の役員、弁護士、監査人、財務サービス機関の従業員、および関係するメディアサービスを標的にします。情報泥棒タイプのものは、インサイダー取引に利用可能な保護された極秘のマーケット情報の窃盗を促します。
使われるマルウェアの設計は共通であり、違うのはターゲットが誰か、さまざまな情報タイプを収集するために利用する命令は何か、および通信のやりとりをする管理サイトの種類の違いのみです。犯罪のタイプを定義するには、使用するツール名だけでなく行為内容のエビデンスが必要です。このような証拠は基本的に次の3か所に存在します。盗み出した情報が保存されていてボットネットのサービス購入者がアクセスできる管理サーバー、不正行為を行った被害者の経理用(または取引用)のユーザーアカウント、および悪用の履歴が確認できる被害者のコンピュータ内の痕跡です。
いくつかの例を見てみましょう。
個人情報泥棒タイプ:このタイプのツールは、マルウェアをブラウザの中に埋め込み、被害者が銀行との金銭取引や金融取引に使用している認証情報を収集します。Dyreなど最新タイプのマルウェアはリモートデスクトップの「遠隔操作」などの追加機能を利用しており、被害者が銀行サイトへのログイン時に使用している感染したコンピュータを運用者やサービス購入者が乗っ取ることができます。最新の情報取得タイプのものは、スクリーンショットや他の技術を使用して二要素認証を突破するツールを埋め込むこともあります。
企業情報泥棒タイプ:このタイプのマルウェアは、個人情報泥棒タイプと同様(機能拡大版ですが)の方法で認証情報を収集するだけでなく、企業ネットワークへのバックドアアクセスを提供します。マルウェアは自動的に、セキュリティの弱いコンピュータ、ユーザーの認証情報とアクセス許可に関するシステム情報、および別のメモ情報などによりアクセス可能な企業ネットワーク情報を収集します。ボットマスターは次に情報をカタログ化します。セキュリティの弱い企業コンピュータやネットワークについて追加調査しエクスプロイトを実行し、多くは追加の遠隔監視ツールをインストールして企業や組織に対して恒久的かつ複数のアクセスを作成する、あるいは単純にある企業ネットワーク内のあるコンピュータにアクセスできたという事実を希望する、サービス購入者に販売します。その後、サービス購入者はボットマスターに新たな行為を指示する(追加サービスを提供している場合)、もしくはサービス購入者自身がアクセス手段を利用して目的の行為を行います。
続きはパート2をご覧ください。
執筆にご協力いただいた方々
この調査に参加いただいた多くの人に感謝いたします。また調査にあたって、Malware Operationsチーム、Malware Sample Databaseチーム、Foundstone Incident Responseチームのメンバー、およびこの調査にあたり特別にご協力いただいた共著者であるシェーン・シュック博士に感謝いたします。
シュック博士はフォーチュン100のグローバル企業の間で、インシデントの分析と対応に関する経験が豊富なリーダー的存在として有名です。彼は、過去20年以上にわたり多くの情報セキュリティ侵害の重大事件で、フォレンジック調査員、およびコンピュータシステムや通信システムのアナリストを率いてきました。博士は金融サービス業界を始め多くの業界において標準的な開発を含む経験を土台に、インテルセキュリティのお客様にビジネス内容に照らした技術リスクのコンサルティングを行っています。
※本ページの内容は McAfee Blog の抄訳です。
原文: A Dummies Guide to ‘Insider Trading’ via Botnet
著者: Raj Samani(VP, CTO for EMEA)
