教科書に載るような古典的な脅威の中でも、Carbanakは現在のところ、最大規模のサイバー銀行強盗事件と考えられるかもしれません。世界各地の金融機関を狙ったこの有名なAPT(Advanced Persistent Threat)は、攻撃範囲の広さと損害の大きさから、きわめて深刻な事件となりました。このAPT攻撃の驚くべき点は、一風変わったアプローチの仕方と、慎重な計画ぶりです。通常のサイバー犯罪は、マルウェアで利用者の認証情報を盗むか、個人のオンライン・バンキング・セッションに浸入しますが、Carbanak犯罪集団はそれとは異なり、厚かましくも銀行の内部システムと運用に照準を定めたのです。その結果、さまざまな経路から盗難が行われ、1銀行あたり平均800万ドルの損害を出しました。

報告によれば、この記事を投稿している現段階でも、Carbanakによる攻撃はまだ終息していません。

内部から金融機関を攻撃するには、オンライン・バンクの利用者になりすますよりも、複雑な手順が必要になります。この大規模なAPT攻撃では、通常のサイバー犯罪組織では見られないレベルの計画、スキル、リソースが用いられました。

この攻撃を許してしまった主な要因は、不十分なセキュリティー管理体制にあります。金融部門は、詐欺の防止と検出/保護メカニズムの強化に長年、熱心に取り組んできましたが、企業システムや社内運用ネットワークに対する脅威には気付いていませんでした。銀行はサイバー犯罪者が銀行のシステム内部から攻撃できるとは考えていなかったため、内部のコア・システムはこうした攻撃を防ぐ十分な対策を取っていませんでした。犯罪者がこれに気付き、これだけの規模で金銭窃取の犯罪行為を遂行するのは、単に時間の問題だったのです。

簡単に侵入を許し、長期間にわたって被害を受け続けたという事実は、従業員のエンドポイントと銀行のコア・システムを守るために、セキュリティー管理強化の必要性を浮き彫りにしました。

2013年末以降、この隠れたAPT攻撃はまったく気付かれずに進められました。きわめて活発に動いていたのに、発見されないままだったのです。最初の不正侵入は、スピア・フィッシング・メールとエクスプロイトを隠し持った添付ファイルによるものでした。この添付ファイルによるマルウェアで、従業員のエンドポイントのセキュリティーが弱体化し、認証情報が盗まれ、エンドポイントが乗っ取られ、ユーザー権限が悪用されました。

この事件に関する各種調査報告によれば、ネットワークに侵入した攻撃者が見たのは、脆弱な管理体制と、場合によってはごく基本的な検出機能に過ぎませんでした。

銀行のシステムは独自のソフトウェアとハードウェアを実行していますが、その運用も危機にさらされました。攻撃者が運用方法を学習できたためです。この偵察行動は、キーロガー、スクリーンショット・グラバー、リモート管理ツール、Video Grabberなど、ごく普通のマルウェア機能で簡単に実行できました。いずれも、サーバー犯罪者が10年近く使っている基本的なマルウェア機能です。

それでもこの時点で、悪質な活動が行われていることに気付いている金融機関もありました。彼らは、その発生源を突き止めようとし、脅威を封じ込め、攻撃を完全に止めました。

Carbanakはどのように始まったか

他の多くのAPT攻撃と同じく、Carbanakもゆっくりと、しかし着実な足取りで始まりました。犯罪者たちは、最も強固な防御態勢を敷いている標的の内部環境に拠点を築く計画を練り、その通り実行しました。

手始めに、犯罪者たちは、銀行の従業員のコンピューターにアクセスする権限を購入しました。これは、特に目的なくばらまかれているマルウェアで既に漏洩していた情報です。膨大な数のボットネットを実行しているサイバー犯罪ベンダー、Dark Webはあらゆる国の被感染コンピューターへのアクセス権を販売しています。ユーザーのEメール・ドメインをクイック・サーチで検索すると、そのユーザーの勤務先が分かるため、犯罪者は標的にすることができます。リモート・デスクトップ・ベースのアクセス権には、わずか数ドルの値段しか付いていません。

Carbanak犯罪集団は、標的の銀行への最初のバック・ドアを手に入れると、その銀行の従業員と別の銀行の従業員を罠にかけるスピア・フィッシング・メールを送信しました。Eメールには、エクスプロイトを隠し持ったファイルが貼付されており、従業員がその添付ファイルを開くと、隠れて悪事を働くトロイの木馬がダウンロードされます。

この犯罪行為で使用されたマルウェアには、AnunakやQadarsの変異型の他、Carberpの交雑型もありました。ただし、最新のサンプルを見ると、この犯罪集団はまったく新しいマルウェアに移行したようです。研究者が使用している「Carbanak」という名称は「Carberp」と「Anunak」を組み合わせたものですが、実際のサンプルは、現時点ではどちらのコードにも関連していません。

新たな被害者のエンドポイントが知らずにマルウェアに感染すると、その後の手順はどのAPT攻撃でも同じです。権限のエスカレーション、銀行のインフラストラクチャー内のシステムへの侵入、より深い偵察行動、最終的な悪用などがそれです。

攻撃者は、セキュリティーが弱体化した銀行の内部システムを調べるために、マルウェアから定期的にビデオ・キャプチャーやスクリーン・キャプチャーを表示して受信しながら、標的のオペレーターを監視しました。盗み出した認証情報を利用し、作戦の始動日に従業員になりすますために、銀行の従業員の操作を徐々に学んでいったのです。

犯罪組織内の監視チームは、キーロガーやデータ盗難マルウェアの機能を利用することで、必要なアクセス認証情報とユーザー権限を手に入れ、次の攻撃を開始しました。さまざまな方法を用いて、標的となる銀行から大金を詐取し始めたのです。

このAPTは、さまざまな経路による詐欺行為を組み合わせたもので、オンライン・システムと物理システムの両方を悪用し、銀行のサービス・チャンネル内からでも、サービス・チャンネル経由でも不正行為を働きました。攻撃者が行ったのは次のようなことです。

 

  • ATMに接続しているコンピューターをマルウェアに感染させ、犯罪集団のマネー・ミュール(運び屋役)がATMの前にいるときに現金を吐き出すように環境を整えた。
  • 内部のOracleデータベースを弱体化させ、詐取用の口座を開設し、カードを発行し、残高を改変して、実際より多額の現金を毎回オンラインで引き出せるようにした。
  • 国際銀行間通信協会のシステムを悪用し、管理対象の口座に多額の現金を移動した。
  • オンライン・バンキング・ベクターを利用し、電子決済詐欺と不正取引を行った。

 

 

東欧に拠点を置くこのサイバー犯罪集団は、静かに潜伏しながら、不正行為を試み、1年以上にわたってシステム内部から繰り返し攻撃を仕掛けていました。この作戦を支えていたのが、関与の度合いがさまざまなマネー・ミュールとその口座からなる広範なネットワークです。その結果、犯罪集団は各銀行から何百万ドルもの金額を引き出すことに成功しました。

攻撃を受けたウクライナの銀行で事件の処理を担当していたKaspersky研究所の調査員が最近、この作戦の被害規模を明らかにしました。Kasperskyのレポートによれば、この攻撃は11か国、100行以上の銀行に被害をもたらしたとのことです。予想損失額は、2月14日には3億ドルでしたが、わずか1日で3倍の10億ドルにまで上りました。

どのような手段であればこのAPT攻撃を防ぐことができたか

複合的な手段を用いたこの攻撃が技術的に成功し、甚大な被害をもたらした原因は、セキュリティーが弱体化した従業員のエンドポイントを使って犯罪者がネットワークに侵入できたこと、内部システムの操作について学習できたこと、および銀行のシステムに対して内部ユーザー・レベルのアクセス権を取得できたことにあります。攻撃者は、従業員のエンドポイントや銀行のネットワークを弱体化させるだけではありませんでした。計画を実行に移すまでの長い間、姿を隠しながら従業員の日常的な行動をひそかに学習していたのです。

一般的な検出機能は、ここでは役に立ちませんでした。不法行為の繰り返しに加え、エクスプロイトによる悪用、ダウンロード、インストール、マルウェア・モジュール、データの不正取り出し、リモート・アクセス、エンドポイントの奪取などは、いずれも数か月にわたって、既存のセキュリティー体制では発見されなかったのです。攻撃が偵察段階で素早く見つかっていれば、犯罪組織の作戦全体が失敗に終わっていたでしょう。

Carbanakのケースで必要とされていたのは、複数の構えを持った防御手段により、高度なマルウェアや認証情報の詐取から企業のエンドポイントを守ることです。たとえば、Carbanakの攻撃で使用されていたエクスプロイト・チェーンを妨害し、リモート・アクセス用のトロイの木馬やその他のマルウェアをマシンにダウンロードできないようにすることなどです。エクスプロイト・チェーンを妨害していれば、スピア・フィッシングの企ては失敗し、従業員のエンドポイントはそもそも弱体化していなかったでしょう。

既に弱体化しているマシンであっても、通信経路を確立しようとする攻撃者の企てを判別して遮断することができれば、ビデオ・フィードやスクリーン・キャプチャーが犯罪者の手元に集まることもなく、結果は違ったものになっていたかもしれません。

Carbanakのボットマスターは、合法的なツールを悪質な目的に使用しながら、リモート管理ツールAmmyなどのマルウェアを従業員のエンドポイントに配備し、操作権限を詐取していました。この危険なダウンロードを止めていれば、攻撃者はその後のエンドポイント奪取に手こずったことでしょう。

仮想ネットワーク・コンピューティングを介して悪用されたエンドポイントは、もっと手厚い防御策を必要としていました。そうすれば、被害拡大のチャンスを犯罪者が得る前に、疑わしいセッションにフラグを立て、攻撃者の足取りを明らかにすることができたはずです。

この大規模APT攻撃に関するこれまでの報告によれば、Carbanakは非常に高度な組織犯罪ですが、技術的にはさほど洗練されたものではありません。いわんや、守るのは無理というほどのものでもないのです。従業員のエンドポイントと内部システムを守るために、銀行が採用できる多層構造の防御策については、Trusteer Apex Advanced Malware Protection™をご覧ください。

(出典:Security Intelligence より訳出 “Carbanak: How Would You Have Stopped a $1 Billion APT Attack?” BY LIMOR KESSEM 2015年2月23日)