Microsoftは12月13日(米国時間)、「Disrupting the gateway services to cybercrime - Microsoft On the Issues」において、不正に7億5,000万件のMicrosoftアカウントを作成した脅威グループ「Storm-1152」のインフラを差し押さえたと報じた。Storm-1152は不正に作成したMicrosoftアカウントや、CAPTCHAをバイパスするツールなどを販売する脅威グループとされる。
脅威グループ「Storm-1152」の不正行為の詳細
これまでにStorm-1152は不正に作成したアカウントなどを他の脅威グループに販売し、多数のサイバー攻撃を支援してきたとみられている。Microsoftやその他の企業はこれらの攻撃に対処するため、多額の費用を費やしたという。
近年のサイバー攻撃では自動化された犯罪行為を行うために不正なアカウントが必要とされるが、アカウントを発行する企業により迅速にアカウントが停止されるため、脅威グループは大量の不正アカウントを必要とする傾向にあるとされる。
脅威グループ「Storm-1152」差し押さえの詳細
2023年12月7日(米国時間)、MicrosoftはStorm-1152が犯罪行為のために使用した米国を拠点とするインフラを差し押さえ、オフラインにする裁判所命令を取得した。これにより、以下のWebサイトが処置の対象となり、すでに閉鎖されている。
- Hotmailbox.me - 不正に作成したMicrosoftアカウントを販売するWebサイト
- 1stCAPTCHA、AnyCAPTCHA、NoneCAPTCHA - CAPTCHA(相手が人間であることを確認する仕組み)をバイパスするツールを販売するWebサイト
- ソーシャルメディア - 上記サービスのマーケティングに使用
ネットワークセキュリティ企業のArkose Labsも同日、「Disrupting the Storm-1152 Cybercrime Ring - STORM-1152 PAGE | Arkose Labs」にてMicrosoftと同様の活動を報じている。Arkose Labsの防諜ユニット「Arkose Cyber Threat Intelligence Research(ACTIR)」は、脅威インテリジェンスに関する追加のデータと洞察をMicrosoftに提供し、この活動を支援したという。MicrosoftはArkose Labsの協力により、Storm-1152の活動を主導していたベトナムを拠点とする3名の身元を確認したとして、米国の法執行機関に通知している。
脅威グループ「Storm-1152」差し押さえの影響
Microsoftは今回の法的措置によりStorm-1152は活動に影響を受けるだろうが、他の脅威グループは本件の情報から技術をさらに進化させる可能性があるとして警戒を呼びかけている。また、進化する脅威グループに対抗するには脅威に立ち向かう企業や組織、公的機関との連携は不可欠として、協力関係を維持して脅威に立ち向かう姿勢を見せている。
MicrosoftはStorm-1152が販売する不正なアカウントを使用してランサムウェア攻撃やデータ窃取、恐喝に関与した複数の脅威グループとして、「Octo Tempest(別名:Scattered Spider)」、「Storm-0252」、「Storm-0455」の名を挙げ、これら脅威グループを継続して監視すると表明している。