21万以上の被害者を生んだ攻撃者を撲滅せよ 国際的大規模作戦の詳細：Cybersecurity Dive

合計21万6000人以上の被害者を生んだ情報窃取型マルウェアのコンピュータインフラが解体された。各国の法執行機関とサイバーセキュリティ企業が共同で実行した大規模作戦「Operation Secure」の詳細を確認しよう。

[Eric Geller，Cybersecurity Dive]

　国際的な法執行機関の作戦により、複数種の情報窃取型マルウェアを稼働させていたコンピュータインフラが解体された。

21万以上の被害者を生んだ攻撃者を撲滅せよ　大規模作戦の詳細

　Interpolの声明によると（注1）、「Operation Secure」の一環として、アジア26カ国の当局は、サーバの位置の特定や物理ネットワークのマッピング、標的を絞ったテイクダウン作戦を遂行したという。各国の法執行機関は、サイバーセキュリティ企業であるGroup-IBやKaspersky、Trend Microと協力し、標的に関する評価を準備した。その情報はアジア各地のサイバーチームに共有され、その結果として特定された不審なIPアドレスの79％をテイクダウンすることに成功した。

　この他、当局は41台のサーバを押収し、サイバー犯罪者とみられる32人を逮捕した。このうち18人がベトナムで逮捕されており、その中には標的とされたグループのリーダーとされる容疑者も含まれている。当局は「この容疑者は、企業アカウントの開設および売買を目的とした計画に関与していたとみられ、その関連文書や技術的手段を所持していた」と述べている。また、スリランカでも12人が逮捕され、残りの2人はミクロネシアの小国ナウルで逮捕された。

　情報窃取型マルウェアはパスワードやクレジットカード番号などの機密情報を盗み出すものだが、二次的な利益も生み出す。Interpolによると、サイバー犯罪者はダークWebでこうしたマルウェアが生成する活動ログを購入し、さらなる攻撃の入り口として利用することが多いという。それらの攻撃にはランサムウェア攻撃や詐欺行為も含まれる。

　Interpolは「香港警察は私たちが提供した1700件以上の情報を分析し、89のインターネットサービスプロバイダーにまたがって設置された117台のコマンド＆コントロール（C2）サーバを特定した。これらのサーバは、フィッシングやオンライン詐欺、SNS詐欺を含む悪質な攻撃キャンペーンを開始および管理するための拠点としてサイバー犯罪者に利用されていた」と述べた。

　法執行機関は作戦終了後、合計21万6000人以上の被害者および被害の疑いがある者に連絡を取り、パスワードを変更し、不正アクセスがないかアカウントを確認するよう警告した。

（注1）20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown（INTERPOL）