セキュリティー・インテリジェンス

被害総額10億ドル規模のサイバー攻撃でも、防ぐ方法はある

記事をシェアする:

教科書に載るような古典的な脅威の中でも、Carbanakは現在のところ、最大規模のサイバー強盗事件と考えられるかもしれません。世界各地の金融機関を狙ったこの有名なAPT(Advanced Persistent Threat、特定の個人・組織に対して複数の手段を使って繰り返し行われる攻撃)は、攻撃範囲の広さと損害の大きさから、きわめて深刻な事件となりました。このAPT攻撃の驚くべき点は、一風変わったアプローチの仕方と、慎重な計画ぶりです。通常のサイバー犯罪は、マルウェアで利用者の認証情報を盗むか、個人のオンライン・バンキング・セッションに浸入しますが、Carbanakギャングはそれとは異なり、厚かましくも銀行の内部システムと運用に照準を定めたのです。その結果、さまざまな経路から盗難が行われ、1銀行あたり平均800万ドルの損害を出しました。

内部から金融機関を攻撃するには、オンライン・バンクの利用者になりすますよりも、複雑な手順が必要になります。この大規模なAPT攻撃では、通常のサイバー犯罪組織では見られないレベルの計画、スキル、リソースが用いられました。 この攻撃を許してしまった主な要因は、不十分なセキュリティー管理体制にあります。
金融部門は、詐欺の防止と検出/保護メカニズムの強化に長年、熱心に取り組んできましたが、企業システムや社内運用ネットワークに対する脅威には気付いていませんでした。銀行はサイバー犯罪者が銀行のシステム内部から攻撃を仕掛けてくるとは考えていなかったため、内部のシステムは、攻撃を防ぐ十分な対策を取っていなかったのです。犯罪者がこれに気付き、これだけの規模で犯罪行為を遂行するのは、単に時間の問題だったということです。 簡単に侵入を許し、長期間にわたって被害を受け続けたというこの事実は、従業員のPCやと銀行のコア・システムを守るために、セキュリティー管理強化の必要性を浮き彫りにしました。

2013年末以降、この隠れたAPT攻撃はまったく気付かれずに進められました。きわめて活発に動いていたのに、発見されないままだったのです。最初の不法侵入は、フィッシング・メールとウィルスを隠し持った添付ファイルによるものでした。この添付ファイルによるマルウェアで、従業員のPCのセキュリティーが弱体化し、認証情報が盗まれ、PCが乗っ取られ、ユーザー権限が悪用されました。 この事件に関する各種調査報告によれば、ネットワークに侵入した攻撃者が見たのは、脆弱な管理体制と、場合によってはごく基本的な検出機能に過ぎませんでした。
銀行のシステムは独自のソフトウェアとハードウェアを実行していますが、その運用も危機にさらされました。攻撃者が運用方法を学習できたためです。この偵察行動は、攻撃者にとっては、ごく普通のマルウェア機能で簡単に実行できました。いずれも、サーバー犯罪者が10年近く使っている基本的なマルウェア機能です。 それでもこの時点で、悪質な活動が行われていることに気付いている金融機関もありました。彼らは、その発生源を突き止めようとし、脅威を封じ込め、攻撃を完全に止めました。

 この攻撃はどのように始まったか

他の多くのAPT攻撃と同じく、Carbanakもゆっくりと、しかし着実な足取りで始まりました。ギャングたちは、最も強固な防御態勢を敷いている標的の内部環境に拠点を築く計画を練り、その通り実行しました。 手始めに、犯罪者たちは、銀行の従業員のコンピューターにアクセスする権限を購入しました。これは、特に目的なくばらまかれているマルウェアで既に漏洩していた情報です。膨大な数のボットネットを実行しているサイバー犯罪ベンダー、Dark Webはあらゆる国の被感染コンピューターへのアクセス権を販売しています。ユーザーのEメール・ドメインをクイック・サーチで検索すると、そのユーザーの勤務先が分かるため、犯罪者は標的に照準を合わせることができます。リモート・デスクトップ・ベースのアクセス権には、わずか数ドルの値段しか付いていません。 Carbanakチームは、標的の銀行への最初のバック・ドアを手に入れると、その銀行の従業員と別の銀行の従業員を罠にかけるフィッシング・メールを送信しました。Eメールには、ウィルスを隠し持ったファイルが貼付されており、従業員がその添付ファイルを開くと、隠れて悪事を働くトロイの木馬がダウンロードされてしまうのです。 このように、新たな被害者のPCが知らずにマルウェアに感染すると、その後のプロセスはどのAPT攻撃でも同じです。権限のエスカレーション、銀行のインフラストラクチャー内のシステムへの侵入、より深い偵察行動、最終的な悪用などが発生します。 攻撃者は、セキュリティーが弱体化した銀行の内部システムを調べるために、マルウェアから定期的にビデオ・キャプチャーやスクリーン・キャプチャーを表示して受信しながら、標的のオペレーターを監視しました。盗み出した認証情報を利用し、作戦の始動日に従業員になりすますために、銀行の従業員の操作を徐々に学んでいったのです。 こうして犯罪組織内の監視チームは、必要なアクセス認証情報とユーザー権限を手に入れ、次の攻撃を開始しました。さまざまな方法を用いて、標的となる銀行から大金を詐取し始めたのです。 このAPTは、いくつもの経路による詐欺行為を組み合わせたもので、オンライン・システムと物理システムの両方を悪用し、銀行のサービス・チャンネル内からでも、サービス・チャンネル経由でも不正行為を働きました。具体的に攻撃者が行ったのは、次のようなことです。

  • ATMに接続しているコンピューターをマルウェアに感染させ、ギャングのマネー・ミュール(運び屋役)がATMの前にいるときに現金を吐き出すように環境を整えた。
  • 内部のデータベースを弱体化させ、詐取用の口座を開設し、カードを発行し、残高を改変して、実際より多額の現金を毎回オンラインで引き出せるようにした。
  • 国際銀行間通信協会のシステムを悪用し、管理対象の口座に多額の現金を移動した。
  • オンライン・バンキング・ベクターを利用し、電子決済詐欺と不正取引を行った。

東欧に拠点を置くこのサイバー犯罪集団は、よく油を差した機械のように静かに動きながら、1年以上にわたってシステム内部から繰り返し攻撃を仕掛けていました。この作戦を支えていたのが、関与の度合いがさまざまなマネー・ミュールとその口座からなる広範なネットワークです。その結果、犯罪集団は各銀行から何百万ドルもの金額を引き出すことに成功しました。 攻撃を受けたウクライナの銀行で事件の処理を担当していたKaspersky研究所の調査員が最近、この作戦の被害規模を明らかにしました。そのレポートによれば、この攻撃は11か国、100行以上の銀行に被害をもたらしたとのことです。予想損失額は、2月14日には3億ドルでしたが、わずか1日で3倍の10億ドルにまで上りました。

APT攻撃を防ぐにはこの方法を!

複合的な手段を用いたこの攻撃が技術的に成功し、甚大な被害をもたらした原因としては、以下のような点があげられます。セキュリティーが弱体化した従業員のPCを使って犯罪者がネットワークに侵入できたこと、内部システムの操作について学習できたこと、および銀行のシステムに対して内部ユーザー・レベルのアクセス権を取得できたことなどです。攻撃者が行ったことは、従業員のPCや銀行のネットワークを弱体化させるだけではありませんでした。計画を実行に移すまでの長い間、姿を隠しながら従業員の日常的な行動をひそかに学習していたのです。 そして残念なことに一般的な検出機能は、ここでは役に立ちませんでした。攻撃者たちが行ってきたさまざまな行動は、いずれも数か月にわたって、既存のセキュリティー体制では発見されなかったのです。もしも攻撃が偵察段階で素早く見つかっていれば、犯罪組織の作戦全体が失敗に終わっていたでしょう。

Carbanakのケースで必要とされていたのは、複数の構えを持った防御手段により、高度なマルウェアや認証情報の詐取から、企業内にあるPCやサーバーを守ることです。 この大規模APT攻撃に関するこれまでの報告によれば、Carbanakは非常に高度な組織犯罪ではありますが、技術的にはさほど洗練されたものではありません。いわんや、守るのは無理というほどのものでもないのです。従業員と組織の内部システムを守るために、銀行が採用できる多層構造の防御策について関心がある方はぜひ、Trusteer Apex Advanced Malware Protection™をご覧ください。

(出典:Security Intelligence より訳出 “Carbanak: How Would You Have Stopped a $1 Billion APT Attack?” BY LIMOR KESSEM 2015年2月23日)

ov33444_iconTokyo SOC 情報分析レポートはこちらから

IBMが全世界10拠点のセキュリティー・オペレーション・センター(SOC)にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したレポートです。

2014年 下半期 Tokyo SOC 情報分析レポート(要登録)

More stories
2019-11-28

Emotet(エモテット)、約2カ月の沈黙を経て再び猛威を振るう・・対策は?

  2019年9月に、ポーランド語、ドイツ語のユーザーをターゲットとしたマルウェアが添付されたスパム […]

さらに読む

2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む