エキスパートに聞く、オンライン犯罪市場の構造変化と撲滅への取り組み

RSA Securityによれば、2005年以降で初めてフィッシング詐欺が減少し、マルウェア犯罪が台頭しているという。同社の主席研究者に犯罪市場の構図や対策への取り組みを聞いた。

[國谷武史，ITmedia]

RSA サイバー犯罪・オンライン詐欺 コミュニケーション スペシャリストのリモア・ケセル氏。AFCC主席研究員も務める

　EMCのセキュリティ部門RSA Securityによると、2013年に入ってフィッシング詐欺の動向に変化がみられるという。オンライン犯罪の監視や分析、攻撃サイトの閉鎖などを行う同社の「Anti Fraud Command Center（AFCC）」で主席研究員を務めるリモア・ケセル氏は、「2012年も59％増と継続的に増えていたものの、2013年は2005年以降で初めて減少に転じている」と話す。一方、トロイの木馬などマルウェアを使った犯罪が増えている。

　この状況についてケセル氏は、近年のオンライン犯罪市場における構図の変化に一因があると解説する。かつては、犯罪者自身が攻撃ツールを開発し、自身の手で企業や個人などからアカウント情報やクレジットカード情報などを搾取する。それらの情報が犯罪市場で売買されていた。

　「最近はオンライン犯罪市場が成熟化し、犯罪に関するあらゆるものがサービスとして提供されている。ツールの開発から提供、情報の売買、犯罪の代行、手口の指南やサポートなど分業化が定着し、表社会と同じような経済活動が営まれている」とケセル氏。

　正規サイトを模倣したフィッシングサイトで情報を盗む行為は、同社のような対策機関に発見されやすい。しかし、犯罪市場で提供されるサービスを巧みに利用すれば、発見されにくい手口を編み出すことができる。マルウェアを使ってネットバンキングから不正に金銭を搾取することが以前より簡単になったことで、上述の変化が起きているようだ。

　ケセル氏によれば、今のオンライン犯罪ではコンピュータに感染したマルウェアが攻撃者のコンピュータと密かに通信を行い、盗み取った情報や新たな攻撃の命令などをやり取りしている。攻撃者のコンピュータは「Fast-Flux」という外部から隠ぺいされたネットワークにあり、追跡が難しい。

　なお、攻撃者のコンピュータと感染したコンピュータとの通信には中継ポイント（ドロップポイント）が使われることが多い。マルウェアが通信するドロップポイントを解析から特定し、その先を含む通信経路を丹念に拾っていくことで、攻撃の全容をある程度明らかにすることができる。こうして、ドロップポイントや攻撃者のコンピュータを閉鎖に追い込めるケースもあるという。

　「AFCCで対応した中に日本の金融機関の事例もある。攻撃者がネットバンキング利用者をマルウェアに感染させ、サービスを利用する度に情報を搾取したり、不正操作をしたりするものだったが、マルウェアを調査し、ドロップポイントとの通信をシャットダウンさせることに成功した」

　このケースはオンラインサービス利用者を標的にしたものだが、昨今の企業や組織の機密情報を狙う標的型サイバー攻撃でもこうした手口が使われている。

　「当社では『Malware in Enterprise』と呼んでいるが、世界中のあらゆる企業で起きている問題。対策としてはOSやソフトウェアを常に最新にする、不審サイトにアクセスしないといった基本行動の徹底はもちろん、監視や分析ツールを活用して脅威を検知できるようにすべきだろう」

　また、マルウェアなどの脅威が検知された場合に備えた戦略も必要になるという。

　「セキュリティインシデント対応チームのようなグループを組織し、ツールの活用やトレーニングによって被害や原因の調査などへ迅速に対応できるように準備する。また当社のような機関を活用して、盗まれた情報の内容やどのドロップポイントに送信されたのかなどを追跡してシャットダウンさせたり、感染コンピュータの特定やマルウェアの駆除、再発防止策の実施などにも当たれる体制を整えていただきたい」

　RSAは顧客企業だけでなく、EMCのネットワークにおける脅威の監視や防御対策も担当しているといい、こうした活動を日々実践しているという。