パロアルト、進化するナイジェリアのサイバー犯罪の攻撃者像を公開

脅威インテリジェンスチーム「Unit 42」日本拠点 脅威インテリジェンスアナリストの林薫氏は11月16日、脅威インテリジェンスチームUnit 42による、国際的詐欺事件「419事件」を中心としたナイジェリアのサイバー犯罪の報告書に関する説明会を開催した。

説明は、脅威インテリジェンスチーム「Unit 42」日本拠点 脅威インテリジェンスアナリストの林薫氏から行われた。

林氏によると、「419事件」は1980年から始まった、電子メールを悪用した詐欺で、「隠し財産を見つけたから、手数料を払うから、それを移すための口座を貸してほしい」といった偽のメールが不特定多数の人に送りつけられるという。

同社は2014年、この「419事件」について、攻撃者が組織化し、汎用マルウェアを使って企業を狙った攻撃を行っているという内容のレポートを発表している。

その後、同社が2年間調査した結果、8400個のマルウェアのサンプルと犯罪に用いられた500個のドメインを検出し、攻撃者のグループを100個特定し、攻撃者の手口や技術が洗練されていることが明らかになったという。

林氏はこの犯罪の手口の特徴として、汎用マルウェアとパッキングソフトウェア(圧縮、暗号化、難読化などの機能を有するソフトウェア)を組み合わせている点を挙げた。その目的は、まったく異なるソフトウェアに見せかけることで、アンチウイルスソフトの検出から逃れることだという。

また、用いられるマルウェアはアンチウイルスベンダーの検出を逃れるため、86以上の亜種が20以下の攻撃でしか使われず、ターゲットも標的型のように慎重に絞るように変わっていったという。なお、この攻撃が狙っている業種は上から、ハイテク、高等教育機関、製造、ヘルスケア、建設となっている。

林氏は攻撃者は、一般の犯罪者とは異なり、インターネット上で身元を隠そうとしていないことから、調査の結果、彼らの正体を突き止めることができたと語った。

攻撃者像として、「快適な生活をしている」「高等教育を受けている」「幅広い世代」「組織化している」といったことが浮かび上がってきたそうだ。

林氏は、彼らはさまざまなソーシャルメディアネットワークを活用しているが、メディアによって公開している情報が異なると指摘した。

例えば、Facebookでは、実名と個人メールアドレスで登録しており、家族や友人とつながっているほか、成功を誇示する写真も掲載されているという。一方、Google +は攻撃用ドメインを取得する際に用いた電子メールアドレス登録しており、攻撃者とツールの仲介として機能しているという。

さらに、攻撃手法の特徴としては、架空の組織を装い、巧妙な偽組織のWebサイトを構築するため、Webサイトからは偽の組織であることがわからないことが紹介された。

各種調査において、2015年の「419事件」の被害が人数について3万人超、金額にして4900万ドル超だったのに対し、2016年に攻撃者が逮捕されたビジネスメール詐欺の被害は人数が数百人、金額が6000万ドルと、被害者の数に対し被害金額が増えているという。

林氏はこうしたナイジェリアのサイバー犯罪への対策について、「当たり前のことにはなるが、ポリシー、人、プロセス、テクノロジーといったさまざまな面から対策を打つことが必要」とした。