　SPNを利用した相関分析の有用性を端的に示したのが「Tinba」の例だ。オンラインバンキングを狙うTinbaは、6万を超えるPCに感染したとされるが、その90％以上はトルコで発生した。「このため、最初はTinbaがトルコの銀行を狙ったものであり、サイバー犯罪者はトルコ内部、もしくは隣国のグルジアやアルメニアの組織である可能性が高いと考えました」とロバート・マカドル研究員は語る。「しかしTinbaで利用されたインフラをマッピングをすることで、もっと大きな傾向が見えてきたのです」。

　同氏がTinbaで利用されたサーバの情報をSPNに照会すると、一見すると無関係な別の攻撃にひも付けられ、「SpyEye」や「Zeus」といったほかのマルウェアも利用されていたという。「攻撃者はロシアとリトアニアにも拠点を持っていました。Tinbaは実験的にトルコを狙っただけであり、ほかの国を狙っていたことも分かってきました」とマカドル氏。「さらに、ただ共通するインフラをマッピングするだけでなく、実際の犯罪者が誰なのかを特定することもできるのです」と続ける。

トルコで感染が広がった「Tinba」。名前の由来は20Kバイトという非常に小さなファイルサイズ（Tiny Banker）

　ここからトレンドマイクロ内部で利用されているツールを用い、実際にサイバー犯罪者へと迫っていくデモが行われた。まず最初に、Tinbaが通信を行っているサーバと共通するSSHキーを使うサーバをSPNでふるいにかけ、各IPアドレスの関係を分析。ここで導き出した相関図から、隣接する2つのネットワークでZeusのC＆Cサーバやフェイクアンチウイルスで利用されるサーバを発見する。

　これらの所有者はリトアニアにいる人のもので、さらに芋づる式に関連するIPを探索していくと、ロシア人が所有するモスクワのドメインにたどり着いた。通常、この種の登録情報には匿名のメールアドレスが利用されているため攻撃者の特定は困難だが、SPNを利用した広範囲な探索によって、（攻撃者のたった1度のミスから）個人用のメールアドレスが網にかかる。このメールアドレスで登録されたドメインを過去にさかのぼって照会してみると、危険なWebサイトを持っていた痕跡が見つかったという（つまり攻撃に関与している可能性が高い）。

　ロバート・マカドル氏は最後に、ロシアのSNSに投稿された攻撃者の顔写真をスライドに表示して、「Tinbaの半分はこの男が関与していた。最初はトルコだけが標的だと考えられたが、実際は世界各地を標的にしていたことが分かった。わずか数分で攻撃者の写真にたどり着くことさえある」とデモをまとめた。