アメリカ合衆国司法省(DOJ: United States Department of Justice)は5月29日(米国時間)、「Southern District of Texas| Websites selling hacking tools to cybercriminals seized|United States Department of Justice」において、サイバー犯罪者向け攻撃ツールを販売するWebサイト「AVCheck」を押収したと発表した。

この作戦は、サイバー犯罪サービスの解体を目的とした多国籍法執行イニシアチブの「エンドゲーム作戦(Operation Endgame)」の一環として、フィンランドおよびオランダ警察の協力の下で行われたとされる。

  • Southern District of Texas| Websites selling hacking tools to cybercriminals seized|United States Department of Justice

    Southern District of Texas| Websites selling hacking tools to cybercriminals seized|United States Department of Justice

作戦の概要

この作戦はマルウェアの検出回避を可能にするオンラインサービスの停止が目的とされる。同省の発表によると、カウンターアンチウイルス(CAV: Counter-AntiVirus)と暗号化サービスを提供する同サービスを利用すると、攻撃者はマルウェアの難読化によるセキュリティソリューションの回避が可能になるという。

当局は事前調査の段階で実際にサービスを購入してその目的を分析。サイバー犯罪に利用する製品と確認し、さらに既知のランサムウェアグループとサービスを結びつけるメールアドレスやデータなどの証拠も発見したとされる。

同省および各国当局はこれら証拠に基づき作戦を決行。4つのドメインとそれに関連するサーバを押収した。現在、押収したWebサイト(avcheck[.]net)にアクセスすると、その事実を通知する次のWebページを確認できるという。

  • Webサイトの押収を通知する画面 - 引用:アメリカ合衆国司法省

    Webサイトの押収を通知する画面  引用:アメリカ合衆国司法省

オランダ当局の発表

アメリカ合衆国司法省の発表に続き、オランダ当局も5月30日(現地時間)、「Key service for malware developers taken offline | politie.nl」にて作戦の実施を発表した。

この発表の中で、オランダ当局のハイテク犯罪チームのチームリーダーを務めるMatthijs Jaspers氏は次のように述べている。

「AVCheckをオフラインにすることは、組織的なサイバー犯罪との戦いにおいて重要な一歩です。なぜなら、サイバー犯罪者の活動を初期段階で阻止し、被害を未然に防ぐことができるからです」

この作戦ではサイバー犯罪者の特定および逮捕は発表されていない。その目的はサイバー攻撃インフラの破壊にあり、増加を続ける被害の抑制を試みたものとみられる。

最近も情報窃取マルウェア「Lumma Stealer」のインフラを押収する作戦が実施されており、各国当局はインフラの破壊に力を入れているものと推測される(参考:「Microsoft、40万台に感染のマルウェア「Lumma Stealer」のインフラ遮断 | TECH+(テックプラス)」)。

これら当局の動きに対し、サイバー犯罪グループが今後どのような対抗策に出るかはわかっていない。しかしながら、このアプローチが功を奏し、サイバー犯罪の強力な抑止力となることが望まれている。