Kasperksy、ロシア語話者によるサイバー犯罪動向の変化をレポート
サイバー犯罪活動の手口や攻撃対象の変化を把握することは、セキュリティコミュニティにとって重要であると同時に、企業や組織が発生し得るインシデントへの対策を講じる上でも役立ちます。当社エキスパートが、過去5年間のロシア語話者によるサイバー犯罪活動の変化をまとめました。
[本リリースは、2021年10月20日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのコンピューターインシデント調査部門は、このたび公開したレポート「Russian-speaking cybercrime evolution: What changed from 2016 to 2021」(英語)において、ロシア語話者のサイバー犯罪組織の過去5年間の活動の手口や主な標的の変化について、その概要を明らかにしました。例えば、一般に公開されているペネトレーションテストやリモートアクセスのソフトウェアの利用や、金銭目的の攻撃からランサムウェアやデータ窃取を目的とした攻撃への変化、そしてロシア国内やCIS諸国内で活動していた多くのサイバー犯罪組織が、現在では海外の標的を攻撃するようになったことなどです。
Kasperskyのコンピューターインシデント調査部門は、約10年間にわたり、主にロシア語話者のサイバー犯罪活動に関連したサイバーセキュリティインシデントの調査を続けてきました。サイバー犯罪者の戦術、技術、手順がどのように進化しているかを把握することは、サイバーセキュリティコミュニティ全体にとって非常に重要であり、企業が発生し得るインシデントに対してセキュリティ対策を講じる上でも役立ちます。これを踏まえて、当部門のエキスパートが、ロシア語話者のサイバー犯罪組織の活動の変化について概要をレポートしました。
例えば、一般的なブラウザーのセキュリティホールを悪用し、金銭の窃取を目的としたマルウェアによって大規模に感染させる、いわゆるクライアントサイド攻撃のような攻撃はもはや主流ではないと指摘しています。数年前までは、こうした感染経路は、ロシア語話者のサイバー犯罪組織が商業や金融機関の重要な標的(通常は経理担当者)を感染させる目的で頻繁に利用していました。しかし、ブラウザーやそのほか脆弱(ぜいじゃく)だったWeb技術の開発者が、セキュリティ強化とシステムの自動更新機能の実装に努力を重ねた結果、犯罪組織が効率的な感染キャンペーンを仕掛けることは難しくなりました。その代わりに、スピアフィッシングメールを使用して、一般的に使用されているソフトウェアの脆弱性について標的のコンピューターがパッチを適用していないことを期待し、悪意のある添付ファイルを開かせ感染するように仕向けています。
もう一つの重要な変化は、数年前とは異なり、サイバー犯罪組織が独自にマルウェアを開発することはなくなり、代わりに一般に公開されているペネトレーションテストやリモートアクセスのソフトウェアを利用するようになったことです。これらのツールは企業でも正当な目的で使用することがあるため、悪意のあるツールとしてセキュリティソフトウェアによって自動検知されることはありません。これが犯罪組織がこういったツールを使用する理由です。また、ペネトレーションテストツールを使用することで、開発に要するリソースを大幅に削減することが可能になります。
そのほかの主な変化は次の通りです。
・独自のインフラストラクチャを構築し維持する代わりに、パブリッククラウドのインフラストラクチャを活用
・大規模な犯罪協力組織をつくる必要がなくなった。また、クラウドインフラストラクチャを活用することで悪意のあるツールを独自に作成することが不要となり、従来よりも小規模な組織で悪意のある活動を実行することが可能になった
・企業や金融機関に対する金銭目的の攻撃から、ランサムウェアやデータ窃取を目的とした攻撃へと大きく変化している。また、ロシア国内やCIS諸国内で活動していたサイバー犯罪組織の相当数が、現在では海外の標的を攻撃している
Kasperskyのセキュリティエキスパート、ルスラン・サビトフ(Ruslan Sabitov)は次のように述べています。「2016年当時、私たちは金融機関の中でも特に銀行を標的とする大規模なサイバー犯罪組織を注視していました。Lurk、Buhtrap、Metel、RTM、Fibbit、Carbanakといった悪名高いサイバー犯罪組織が、ロシア国内だけでなく、時には海外の銀行に対しても大胆な攻撃を繰り広げていました。しかし、当社の貢献によってこれらの犯罪組織は解体したり、摘発されたりしています。また、Cerberusのようにソースコードを公開した組織もあります。最近の傾向では、攻撃の対象は金融機関に限りません。また、当社が調査してきたような大規模な攻撃を実行することは、今では不可能なことは喜ぶべきことです。しかし、サイバー犯罪件数が減少しているとは言い難く、昨年、当部門が調査したインシデントは約200件に上ります。今年は、現時点ですでに約300件になっており、さらに増えるとみています。このような状況下において、サイバー犯罪活動に関する情報をサイバーセキュリティコミュニティで共有することは極めて重要であり、当社は今回のレポートの発表を通じてこの取り組みに寄与したいと思います」
・ロシア語話者によるサイバー犯罪の変化について詳細は、Securelistブログ(英語)「Russian-speaking cybercrime evolution: What changed from 2016 to 2021」でご覧いただけます。
Kasperksy、ロシア語話者によるサイバー犯罪動向の変化をレポート
Kaspersky
関連記事 ウイルスニュース
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
過去3年の間にサイバー犯罪者が最も多く使用した情報窃取型マルウェアは「Redline」となっており、新種の情報窃取型マルウェア「Lumma」「Stealc stealer」も増加しています。詳しくはこちら >Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >