ESET/マルウェア情報局
ウィルス対策ベンダーと法執行機関が共同戦線を張った理由
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたサイバー犯罪を取り締まるためにウイルス対策ベンダーが法執行機関に協力する理由を再編集したものです
マルウェアを「分析」する第一の目的は、既存のマルウェアがどのように作動するかを見定め「IoC」(危殆化指標、脅威が存在することを示す痕跡)を抽出し、可能な対応策を決定することである。この仕事はその性質上、バイナリーファイルとその特性に焦点を当てるもので、技術的なものである。
マルウェア分析の結果は、感染拡大を防ぐほか、現に起こっている被害の修復を行おうとしている組織にとって、非常に重要である。また、ウイルス対策ベンダーにとっても、より精度の高い検知とより強力な防御手段を開発して自社製品に実装可能になるため、非常に重要である。
だが、別のタイプの質問に対して答えを求められることも少なくない。たとえば、このファイルは別のファイルと関係しているのか、C&Cサーバーのインフラはどのように組み立てられているのか、通信プロトコルはどのように作動するのか、ボットネットはどのように収益を上げているのか、インストール課金、スパム、トラフィックのリダイレクト先、などである。
こういった質問に回答することがマルウェアの「研究」と呼ばれる営みである。個々の事象を関連付け、現在起こっていることを理解することで、1つのマルウェアに限ることなく、事例の裏側にある大きな背景をより深く理解することが可能となる。
言うまでもなく、こうした研究は、ウイルス対策ソフトベンダーがより優秀な防御策を設計する際に大きな力となる。ところが、さらに、マルウェア研究がもたらす情報はサイバー犯罪と闘う法執行機関にとっても有益である。実際にどのように役に立ってきたのか、マルウェアの活動の粉砕に協力してきたESETの業績を2点挙げてみる。
「ドークボット」に対する妨害
2015年、ESETはマルウェアファミリー「Win32/Dorkbot」に対して「マルウェア撲滅に向けた共同戦線(CME)」に参加するよう、Microsoft社から要請された。ドークボットはアンダーグラウンドのフォーラムで購入可能なツールであり、それぞれ独立したボットネットであるが、世界各地の被害を合わせると、100万台以上のパソコンに感染した過去を持つ。CMEの目的は、関係するC&Cのインフラを一斉にたたくことで、ボットネットをできる限り多く、大規模に取り締まることであった。
この作戦をサポートするために、ESETのマルウェア研究者はドークボットのバイナリーからC&Cサーバーの情報を抽出するプロセスを自動化した。ESETはこのプロセスを既存のドークボットと新しいドークボット双方のサンプルに対する作業手順に適用させた。次にESETは、そのデータをおのおの扱えるようにし、この結果を踏まえて既知のわなや問題のないドメインまたはIPアドレスを除外することで正規のリソースが削除されるリスクを軽減した。
MicrosoftはESETからの情報を手持ちのデータと合わせて、ターゲットにすべき活動中のC&Cサーバーをすべて網羅するリストを作り上げた。そうして完成されたリストはカナダ・ラジオテレビ通信委員会(CRTC)、米国国土安全保障省(DHS)配下の米国コンピューター危機対応班(US-CERT)、ユーロポール、米国連邦捜査局(FBI)、インターポール、王立カナダ騎馬警察(RCMP)等々、世界中の法執行機関に配布された。作戦実行の当日、連携のとれた指揮の下、令状と削除の通知が実行に移された。
それ以来、ドークボットの世界規模での活動が急激に減少していることは誰の目にも明らかであり、これは「マルウェア撲滅に向けた共同戦線」(CME)の成功を示すものである。
ボットネット「ウィンディゴ」と「エベリー」
「ウィンディゴ(Windigo)作戦」と名付けた詳細な技術分析を2014年に公開したのはESETが最初である。ウィンディゴは、簡単に言えば、バックドアがベースとなったマルウェアであり、何万台ものLinuxサーバーに忍び込み認証情報を盗み出す。さらに、そのサーバーには不正なコンポーネントがインストールされ、たとえばスパムを送信するほか、HTTPトラフィックをリダイレクトすることによって、ボットネットを用いて収益を上げることに使われる。
ウィンディゴに関するリポートの発表後、ESETはその背後に潜むサイバー犯罪者の捜査に関してFBIと連携し始めた。
ESETは、感染したIPアドレス、当該のボットネットから送信されたスパムメッセージから抜き出した情報、ドメインレジストリーの情報のような他の関連した公開情報といった、マルウェア研究から得た技術情報のシェアという形で捜査に貢献した。
そうした情報を得て、FBIはゆっくりとではあるが、しかし着実に自分たちの仕事を行えるようになった。2015年初頭、マキシム・シナカー(Maxim Senakh)と呼ばれるロシア人が、ウィンディゴを陰で操っているグループの一員であると特定され、米国にて正式に起訴された。シナカーはその後、休暇先からロシアに戻る際、ロシア国境付近でフィンランド当局によって逮捕され、その後、2016年の2月に米国に引き渡された。米国でコンピューター犯罪取締法に違反する通信詐欺の陰謀に関与した罪を最終的に認め、懲役46カ月の判決を受けた。
この件についての詳細はESETのブログ記事をご覧いただきたい。
ESETが法執行機関に協力する理由
サイバー犯罪者を追い詰めることは、膨大な時間とエネルギーを費やすが、それでも社会的に意義があると考える。少なくともESETは、サイバー犯罪を防止し、インターネットをより安全な場所にするための最良の方法の1つと考えている。またそれが「正しいこと」であると理解している。
古典的な犯罪防止の背後にはさまざまな理論があり、ESETはここで何も犯罪学者のようにふるまいたいわけではない。だが、サイバー犯罪と闘うことと、「犯罪が起こるのはそうした機会がたまたま発生しているからであり、犯罪行為に従事する機会を制限することで犯罪防止が可能である」と定義される「状況的犯罪予防」の理論との間には、奇妙な一致が見られる。
この「状況的犯罪予防」の技術は、さまざまなカテゴリーに分類することができるが、そのうち以下の3点は私たちが行っていることに深く関わっている。
1 労力を増やす
ドークボットに対して行われたような、用意周到な撲滅作戦を実行することで、攻撃者は、新しいマルウェアの作成や通信プロトコルの変更など、新しい戦略や手法を改めて組まねばならず、進行中の犯罪行為を維持するためには、多大な努力を必要とする。
2 犯罪による利益を減らす
不正操作を混乱させることによって必然的に犯罪コストを増加させ、比例して純利益を減少させる。
3 問題を引き起こすリスクを高める
法執行機関に技術情報を提供することで、彼らの調査を適切な方向に向けられ、より強力な捜査体制を構築できる。マルウェア研究者からの協力を得てより多くのサイバー犯罪調査を行うことで、より多くの逮捕と有罪判決がもたらされ、サイバー犯罪者のリスクが増加する。
サイバー犯罪者が罰せられにくい理由について、匿名のままインターネット上で犯罪行為を行うことが容易だからだ、と考える人もいる。だが、実際は正反対である。「OPSEC」(完璧なセキュリティ運用)を維持し続けるのはとても難しい。考えてみてほしい。攻撃の開始、ボットネットの状態監視、不正コンポーネントの更新、ドメイン名の登録やサービスのホスティング、操作そのものの収益化など、不正な操作を実行するためには、行わなければならないことが多岐にわたる。完全なサイバー犯罪を実行するためには、すべてのステップを常に完璧に実行する必要がある。しかしサイバー犯罪者も人間であり、人間は必ず間違いを犯す。間違ったサーバーに接続してしまうと、直ちにVPNまたはTorの接続を正常に戻さなければ、どこかのログファイルに格納され証拠が残ってしまう。サイバー犯罪者は1日たりとも気が抜けないのである。
サイバー犯罪者を追いかけるのをあきらめることもある。それは、相手を特定していても、サイバー犯罪者が手の届かないところにいる場合である。彼らはサイバー犯罪に対して有効な法律を持っていない管轄区域に住んでいるのか、それとも調査している国との相互引き渡し条約がないのか。しかし、ここでも人間は間違いを犯す。悪名高いサイバー犯罪者は海外で休暇を取ることがあり、その時こそ、逮捕の機会が巡ってくる。
スティーヴン・コッブの優れた要約でおおむね説明されているように、2017年は、さまざまな捜査において多数のサイバー犯罪者が逮捕された。主要な法執行機関はESETなどの民間企業と協力してサイバー犯罪者を追跡する経験を積み始めている。今後、インターネットを誰にとっても(サイバー犯罪者を除く)より安全な場所にするために、ESETは有益な調査をさらに推し進めるつもりである。
[引用・出典元]
Doing time for cybercrime By Alexis Dorais-Joncas posted 12 Jul 2018 - 01:58PM