速報：“Operation High Roller* （オペレーション・ハイ・ローラー）”

脅威情報
2012.6.26

※本ブログはマカフィー株式会社　サイバー戦略室兼グローバル・ガバメント・リレイションズ室長本橋裕次によるものです。

今まで想定していた脅威レベルを大幅に上回り、既存の防御策では対応できないレベルまで達する－サイバーセキュリティの歴史において、このような重大な転換点がいくつかありました。一つはOperation Aurora。高度な標的型攻撃により世界屈指のIT企業やセキュリティ企業なども被害を受け、APTと言われる言葉が一般的にメディアで使われるようになりました。二つ目に、Stuxnet。複数のセキュリティシステムを掻い潜り、クローズドな環境にあり難攻不落と思われた核システムに侵入し、遠心分離機を破壊してしまいました。

今回、McAfee社とGuardian Analytics社の共同で発表した、“Operation High Roller（オペレーション・ハイ・ローラー）”に関するレポートを見ると、まさに想定していた脅威レベルを大幅に上回り、今までの一般的な防御策では対応できないレベルまで達したと言えます。その意味で、今回のサイバー攻撃は金融機関に対する新たな脅威の始まりを示唆するものです。

今回の事件では、世界的な法執行機関のもと60台に及ぶ不正行為を行うサーバーを取り押さえました。調査の結果、被害を受けたのはヨーロッパの国々、米国とコロンビアにおける各種金融機関と、世界の数千に及ぶ企業と大金を預金していた個人になります。今までのSpyEyeやZeus等のマルウェアを使用した攻撃と大幅に違うのは、下記の点になります。

人手を介在することなく自動的に口座からある一定の金額を吸い上げるシステムを構築し、迅速に広範囲な攻撃を実施
Man-in-the-Browser（MITB）攻撃により、被害者のクライアントからの不正送金指示だけではなく、認証情報を盗んだ後、不正サーバーより銀行ポータルサイトにアクセスし、不正送金を自動的に指示
直ぐに出し子が捕まらないように海外に送金し、出し子から詐欺組織への送金はWestern UnionやLiberty Reserve等のインターネット通貨サービスを利用して匿名性を高めている
攻撃者は、内部の金融システムに精通しており、金融機関が有している不正口座取引検知システムに検知されないよう攻撃
不正送金が終了した後も、取引内容をユーザーへ通知するメールを自動的に削除し、巧みに隠ぺい工作を働く
欧州の金融機関で標準的に使われているICカードによる二要素認証を迂回し攻撃

これらの巧みな攻撃により実質2ヶ月間と言う短期間で、最低でも6,000万ユーロから最高20億ユーロ（日本円約60億から2,000億円）の詐欺を働いています。この犯罪組織による詐欺の成功は、驚愕に値するものです。

日本でも、ちょうど今月、北九州市内でマルウェアを用いてインターネット銀行利用者の端末を攻撃し、不正送金を企て、その送金を受け取ろうとした出し子役の外国人グループが、福岡県警により窃盗容疑で逮捕されました。不正に得た送金の8割は海外の組織に送り、2割は出し子役のグループで分配すると言う、国際的な組織犯罪だったようです。

今回は、幸運にも彼らの手法はかなり低度で迅速に逮捕まで辿り着きました。しかし、このような犯罪組織は、日々、効果的でROIの高い犯罪手法のために研究を重ねています。“Operation High Roller（オペレーション・ハイ・ローラー）”で行われた高度な手法を研究し、そして日本用に改良して攻撃してくるのは、時間の問題だと考えます。

今回のような攻撃に対する効果的な対策は、まず全てのユーザーに脅威が及ぶ可能性がある事を広く知って貰う必要があります。ユーザー一人一人が、注意を払い、その上で利用する端末のPCの耐性を根本的に上げる必要があります。迅速なセキュリティ・パッチの適用、不必要なプログラム／アプリケーションを動作させないホワイト・リスティング型ウイルス対策、不正な通信の検知、ブートプロセス時やメモリー内の不正な動きを監視する技術等々、マカフィーは、今まで以上に多層防御の技術を端末のPCに実装するべきだと考えています。

*High Roller（ハイ・ローラー）とは賭博場などで大金を賭ける人のこと

関連情報：:
Operation High Roller （英語）

Stuxnet