ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。
~8,800台のボットネット指令サーバーと、政府ポータルを含む数百件の感染Webサイトを特定~
[本資料は、2017年4月25日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labは、ASEAN地域においてインターポール(国際刑事警察機構)が主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。
本捜査活動は、インターポールのシンガポール総局(INTERPOL Global Complex for Innovation、IGCI)が中心となって実施したものです。インドネシア、マレーシア、ミャンマー、フィリピン、シンガポール、タイ、ベトナムから派遣されたサイバー犯罪捜査官がIGCIに一堂に会し、各国におけるサイバー犯罪の状況について情報を交換し、中国からも関連する情報が提供されました。Kaspersky Labのリサーチャーは、サイバー脅威に関する最新動向の情報を提供し、また、Cyber Defense Institute、Booz Allen Hamilton、British Telecom、Fortinet、Palo Alto Networks、Trend Microの6社と共同で対策案を策定することで捜査活動に協力しました。
Kaspersky Labがインターポールに提供した独自のレポートでは、WordPressのプラグインに潜む脆弱性を指摘しており、犯罪者は世界中で5,000件以上の正規のWebページに悪意あるコードを埋め込み、偽造品を販売するページへの誘導やPUPと呼ばれる不審なプログラムのダウンロード、総当たり攻撃でのパスワード解析、プロキシなど、この脆弱性を突いた活動を行っていました。東南アジア地域では、政府機関や大学、NGO、民間企業を含む270件近いWebサイトが、この脆弱性を突くマルウェアに感染していることも確認されています。マルウェア感染の被害は、市民の個人データを保存している可能性がある複数の政府公式サイトにもみつかりました。
また、Kaspersky Security Network※1 およびボットネット指令サーバー脅威フィードの情報をもとに、ASEAN諸国での活動が確認された8,800台のボットネット指令サーバーのリストもIGCIに提出しています。このデータは特に、金融機関を狙うもの、ランサムウェアを拡散させるもの、分散型サービス妨害 (DDoS) 攻撃を仕掛けるもの、スパムを送信するもの、その他の犯罪活動を可能にするものをはじめとして、さまざまなマルウェアファミリーを網羅しています。これらの指令サーバーに対する捜査活動は、現在行われています。
本捜査活動では、ナイジェリアへのリンクを掲載するWebサイトを含め、数々のフィッシングサイトの運営者も突き止めました。闇市場でフィッシングサイトの構築キットを販売していたインドネシアのサイバー犯罪者にいたっては、違法ソフトウェアの使い方を紹介するチュートリアル動画をYouTubeに投稿していたことが判明しています。
今回の取り組みについてIGCIの中谷昇総局長は次のように述べています。「今回の官民が連携した捜査は、サイバー犯罪との闘いにおいて効果的かつ有益な官民のパートナーシップを実際に示すことができたという点で理想的な取り組みです。この活動の基本となったのは情報共有であり、サイバー犯罪と闘うための将来的な対策と日常的な活動の両面において、長期ベースで効果的に連携体制を管理していくためには、こうした協力関係が欠かせません」
※1 Kaspersky Security Network: KSN
KSNは、Kaspersky Labのアンチマルウェア製品の各種コンポーネントから情報を収集するクラウドベースのアンチウイルスネットワークです。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSN に接続されたすべてのコンピューターを保護します。KSNには全世界で数千万のユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。すべての情報はユーザーの同意を得て収集されています。