Kaspersky Lab、ロシアの法執行機関に協力し、サイバー犯罪組織「Lurk」50人の逮捕に貢献

[本リリースは、2016年6月1日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labのエキスパートとロシアの大手銀行であるロシア貯蓄銀行（Sberbank）は、サイバー犯罪組織「Lurk」の捜査でロシアの法執行機関に協力し、サイバー犯罪者50人の逮捕に貢献しました。逮捕の容疑は、銀行をはじめとする金融機関や企業に対するボットネットを利用した攻撃で、2011年から4,500万ドル（30億ルーブル^※ ）以上を窃取したとみられています。サイバー犯罪者50人もの逮捕は、ロシアで過去最大規模になります。今回の逮捕で、ロシア警察は3,000万ドル（22億7,300万ルーブル^※ ）以上に相当する不正送金を未然に防ぐことができました。

2011年、Kaspersky LabはLurkトロイの木馬を活用したサイバー犯罪組織の活動を検知しました。この組織は顧客の口座から金銭を窃取する目的で、オンラインバンキングへの侵入方法を探っていたとみています。

Lurk トロイの木馬

Lurkは主要なメディアのWebサイトやニュースサイトを含む、様々な正規のWebサイトにエクスプロイトをしかけることで、サイト閲覧者をマルウェアに感染させました。このマルウェアは、ボット化させた攻撃用モジュールを閲覧者の端末にインストールし、金銭を盗み取る準備をします。

Lurkの標的となったのは、金融機関やメディアのWebサイトだけではありません。VPN接続を利用して自らの痕跡を隠ぺいするため、様々なIT企業や通信事業者に侵入し、サーバーを利用して匿名性を確保していました。Lurkが用いたトロイの木馬の特徴は、標的のコンピューターではなく、RAM（主記憶装置）に悪質なコードを保存することです。さらにこのマルウェアの開発者は、セキュリティ製品による検知を困難にするための対策も講じていました。具体的には、様々なVPNサービス、匿名のTorネットワーク、危険なWi-Fi接続ポイント、すでに攻撃を受けたIT組織のサーバーなどの悪用です。

Kaspersky Labは企業に対し、自社のセキュリティ対策に細心の注意を払うことや、IT基盤のセキュリティチェックの定期的な実施、少なくとも既知の脆弱性からは保護できる状態にすることを強く推奨します。サイバーセキュリティの基本や行動についての従業員教育も非常に重要です。

さらに、企業は進行中の標的型攻撃を検知できるような対策を導入することが必要です。最良の戦略は、サイバー脅威を防ぐために、脅威の検知と対応に大規模な投資を実施することです。極めて高度な標的型攻撃であっても、通常のビジネスワークフローとかけ離れた異常な活動を特定することによって検知が可能となります。

Kaspersky Labでコンピューターインシデント調査を統括するルスラン・ストヤノフ（Ruslan Stoyanov）は、次のようにコメントしています。「我々は早い段階から、Lurkの犯罪組織にロシア人が関わっていることや、様々な企業やユーザーに深刻なサイバー脅威を与えていることを検知し、捜査に協力してきました。Lurkは2015年頃から銀行への攻撃を開始していますが、それ以前は企業や消費者向けシステムを標的としていました。我々はマルウェアを分析し、Lurkの攻撃者が悪用していたコンピューターとサーバーのネットワークを特定しました。その情報によって、ロシア警察は容疑者を特定し、犯罪の証拠を収集することができました。我々は、今後もさらに多くのサイバー犯罪者の検挙に協力したいと考えています」

カスペルスキー製品では、Lurkトロイの木馬をTrojan.Win32.Lurk、Trojan-Banker.Win32.Lurk、Trojan-Spy.Win32.Lurkとして検知・ブロックします。

※ ロシア内務省の発表