Skip to content

セキュリティマガジン TREND PARK

サイバー犯罪の全貌を明らかにするトレンドマイクロの取り組み

最先端脅威研究組織「Forward looking Threat Research」の
研究事例からセキュリティ脅威の実態をひもとく


さらに、一連の攻撃活動に使用された不正プログラムの中に、特定の攻撃活動のものであることを示す「0607e」や「0609af」などの固有のコードが付与されていることも明らかになりました。このコードには標的や攻撃開始日時などを示唆する文字列が含まれており、犯罪グループがこれらのコードを分析することで、どの標的への攻撃に成功したかを追跡していると考えられます。また、解析用の専用ツールを使ってLuckycatで使用された標的型メールや不正プログラムの配布元を調査したところ、犯罪グループはC&Cサーバのインフラとして無料のWebホスティングサービスと、有償の仮想専用サーバ(VPS)の環境を用意していることも確認。限定的な機能しか持たない不正プログラムをターゲットへ感染させた後の第2段階で送り込むバックドア型トロイの木馬「RAT」の運用基盤としてバーチャル・プライベート・サーバを稼働させていたこともわかりました。

図1 持続的標的型攻撃キャンペーン「Luckycat」で使われたネットワークの全体図

図1 持続的標的型攻撃キャンペーン「Luckycat」で使われたネットワークの全体図

このように、攻撃者が一連の攻撃活動を実行するうえで周到に準備し、実行した後も成否を分析していることがFTRの分析から明らかになっています。ベルヌーヴは、「Luckycatをはじめとするキャンペーンで使われた複数のツールやC&Cサーバ、そして攻撃手法を解明し、セキュリティ脅威の全体像を明らかにすることがお客様の保護につながります。特定の犯罪グループがターゲットにする業種や使用する手法の傾向を知ることで次に仕掛けられる攻撃を高精度に予測し、適切な対策を提供できるのです」と話しました。

IPアドレスの相関分析からサイバー犯罪者の特定に成功

FTRの欧州・中東・アフリカ地域担当マネージャー ロバート・マカドル

続いて登場したFTRの欧州・中東・アフリカ地域担当マネージャー ロバート・マカドルは、オンラインバンキング情報を狙う不正プログラム「Tinba」の解析によって得られた成果を紹介しました。

Tinbaは、侵入先のコンピュータからオンラインバンキングのログインIDやパスワード、口座番号といった情報を盗み取るトロイの木馬です。Tinbaとは"TINY BANKER"の略称で、その名の通り非常に小サイズなことが特徴です。ほぼ同様の機能を備える不正プログラム「Zeus」や「SpyEye」の約50分の1にあたる20キロバイト程度のサイズしかなく、極めて洗練されたコードを保有しています。

マカドルは、「われわれはTinbaに感染した6万台以上のコンピュータの約90%がトルコに集中していることを突き止めました。このため、当初はトルコか近隣諸国に活動拠点を置く犯罪グループの仕業と見ていましたが、詳細な調査を進めると、ロシアとリトアニアに拠点を持つ人物の犯行であることが明らかになったのです。この攻撃ではZeusやSpyEyeに加え、複数の脆弱性を攻撃するためのコードをパッケージ化したエクスプロイトキットを使用していたこともわかっています」と話します。

マカドルは、脅威解析の専用ツールを用いて犯罪者を浮き彫りにするデモンストレーションも披露しました。この中では、Tinbaと通信を行う複数のC&Cサーバのドメインが、1つのIPアドレスに関連付けられていることを確認。C&Cサーバをリモートで制御する際に犯罪者しか知り得ない固有のSSH(Secure Shell)キーが使用される特性を利用し、すでに割り出しているIPアドレスの関連要素を洗い出した結果、特定のIPアドレスレンジを利用する新たなC&Cサーバの存在を発見しました。これらの基盤ではZeusやSpyEyeといった不正プログラムが運用されていた痕跡が認められます。さらに、関連するIPアドレスを芋づる式に調査することで、ロシアとリトアニアに攻撃拠点を持つ人物を攻撃に関与している人物として特定することもできました。攻撃に利用された1つのIPアドレスを、トレンドマイクロが日々収集した膨大な脅威情報のビッグデータと紐づけて分析することで、犯罪者組織の活動実態に迫ることが可能になるのです。

図2 相関分析による、犯罪者の特定デモンストレーション

図2 相関分析による、犯罪者の特定デモンストレーション

マカドルは、「この例では、ドメインの登録情報から個人用のメールアドレスが判明し、ロシアのSNSに投稿された犯罪者の写真を入手することにも成功しました。このような世界中の脅威情報や、さまざまなリサーチから得られた知見やノウハウはすべて、1日に6TBのデータを処理するTrend Micro Smart Protection Networkに取り込まれます。この仕組みをフル活用することで、われわれは日々発生する最新脅威への迅速な対応を実現しているのです」と話しました。

FTRの研究活動は、将来の脅威を予測し、よりプロアクティブなセキュリティ対策の実現につなげることを目的としています。今回紹介された事例でも、見つけ出した脅威を仔細に分析し、トレンドマイクロで収集した全ての脅威情報との関連を見出すことで、ひとつの攻撃事象だけを分析していたのではわからなかった攻撃活動の全体像を把握することができました。今日の複雑で組織だったサイバー犯罪に対抗するためには、このように攻撃の全体像を把握し、将来にわたってのセキュリティリスクを予測しながらソリューションに反映させていくことが必要なのです。

記事公開日 : 2012.11.13

ページの先頭へ