暗号資産を目的としたサイバー犯罪を阻止するには

はじめに

犯罪解決に取り組む上で、昔から言われている助言に「（犯罪活動の）資金の流れを追え」というものがあります。しかし、暗号資産のように、資金そのものが分散化、匿名化されているサイバー犯罪のような活動の場合はどうすればよいでしょうか。今日の脅威状況においては、暗号資産の利用を念頭にセキュリティ対策を講じることは、より一層重要になってきています。

10年以上前、違法薬物の売り手と買い手を匿名でつなぐ、最初のダークウェブ市場としてSilk Roadというサイトが広く知られていました。Silk Roadでは、Tor（The Onion Router）ネットワークを悪用して利用者のプライバシーを保護し、暗号資産の一つビットコインとダークウォレットによる暗号化・隠ぺい化された取引が実行されていました。こうした活動は、暗号資産を取引に利用するサイバー犯罪への対策の必要性を世間に周知する契機ともなりました。

その後、多くのダークウェブ市場が出現し、暗号資産の価値は、爆発的に上昇しています※。Silk Roadが立ち上げられた2011年2月、1ビットコインの価値は1米ドル以下でした。
それから10年が経過し、一時期は、1ビットコイン6万8,000米ドル以上という史上最高値を記録しました。その後下がったとはいえ、2022年6月の時点の1ビットコインの価値は2万3,000米ドル弱となっています。
※Bitcoin's Price History

このように、暗号資産は、その高価値と匿名性により、サイバー犯罪者の間での事実上の通貨となっており、法執行機関、組織にとって、暗号資産を要求するサイバー恐喝の防止は、最重要事項となっています。

ビットコインに代わる暗号資産を探すサイバー犯罪者

最近の研究で、アドレスリンクの技術を利用することで、ビットコインアドレスを利用者個人に結び付けられることが実証されました※1。これは、ビットコインが利点と主張してきた匿名性やプライバシーという基本的な価値に疑問を投げかけるものです。一方、サイバー犯罪者は、すでに一歩先を行き、追跡がはるかに困難なモネロのような匿名ベースの暗号資産に移行し始めています※2。現在、いくつかのダークウェブ市場では、すでにモネロが独占的に使用されています。
※１　The Decentralized Mystique
※２　暗号資産をマイニングする不正プログラムへの感染拡散活動とその考察

米国の国土安全保障捜査局（HSI）サイバー犯罪センター課長のMatt Swenson氏は、トレンドマイクロのインタビューの中で、匿名の暗号資産は台帳に取引を記録する際、取引追跡の手がかりとなる情報の難読化を図ると述べています※。これにより、取引の発信元アドレスと宛先アドレスを特定することは、事実上不可能となっています。法執行機関は、こうした追跡不可能な暗号資産の取引の対処に苦慮しています。

※TrendTalksBizSec 　 Malicious Crypto

暗号資産を目的としたサイバー犯罪を阻止する

暗号資産を目的とするサイバー犯罪は、組織にとって脅威です。最近発生している次の3つの攻撃例から、有効な自衛策を紹介します。

ランサムウェアや不正アプリによる攻撃

暗号資産は、サイバー犯罪者によるランサムウェア攻撃の収益化をより容易なものへと変えました。ビットコインを利用すれば、瞬時に被害者からの身代金の支払いを受け取れるからです。しかもCISOや企業や組織のセキュリティ担当者にとっての懸念は、こうしたランサムウェアの増加だけではありません。偽アプリや不正アプリなども、秘密鍵やその他の暗号資産関連の情報窃取に使用されることがあり、深刻な問題となってきています。メタバースや暗号資産が広く流通するWebサイトの将来を見据えたとき、こうした秘密鍵なども窃取するさらなる手口が登場する可能性が懸念されます。

進化を続ける不正アプリから身を守るために、組織が講じるべきあらゆる措置の中でも、ゼロトラスト戦略の導入は最も重要であるといえます。ゼロトラストのモデルでは、ユーザ、デバイス、アプリケーション、サービスに対して、それぞれが適切に検証され、継続的に再評価された場合にのみアクセス権限を付与する「決して信頼せず、常に検証する（Verify and Never Trust）」という原則を徹底することになります。

クラウドを利用した暗号資産マイニング攻撃

最近の傾向として、クラウドのリソース、特にCPUのリソースを標的にして暗号資産のマイニングする攻撃が増加しています。トレンドマイクロの試算では、こうしたクラウドベースの暗号資産マイニング攻撃の損失コストは、端末1台当たり130米ドル/月になることもあります※。
※攻撃によるシステムのリソース消費が100%の場合、インスタンスあたり月額130米ドルのコスト発生が予想される。
Why Organizations Should Take Cloud-Based Cryptocurrency-Mining Attacks Seriously　2022/3/29

現在、多くの組織が複数のクラウドを利用しています。このため、上述のような不正利用が発見されないまま放置されると、リソースの消費量と関連コストが膨大になってしまう可能性があります。自社のリソースを利用した不正な暗号通貨マイニング活動が確認された場合は、ご利用のクラウドインフラがその他のタイプの攻撃に対しても脆弱である可能性を示す警告サインとして受け止める必要があります。

クラウドインフラが適切に設定され、コンプライアンスに適合していることを確認するためには、次のような取り組みにより、継続的なセキュリティの保証と可視性の確保が不可欠となります。
•   クラウドインフラ全体へのリアルタイム監視の実施
•   クラウドインフラ設定のベストプラクティスを自動的にチェックする施策
•   コンプライアンス標準に照らした継続的なテストの実施
•   複数のフィルタを駆使した広範なレポート体制の整備
•   自己回復コントロールによる段階的な修復ルールの制定

暗号資産を詐取する攻撃

暗号資産が普及とともに、関連の詐欺も後を絶たない状況ともなっています。2022年初め、トレンドマイクロでは、AndroidおよびiOS上に存在する偽の暗号資産ウォレットアプリ249個を発見し、約430万米ドル以上の損害が発生しているのを確認しました※。これは、暗号資産の取引が不可逆的であることを悪用した偽アプリの手口といえます。
※An Investigation of Cryptocurrency Scams and Schemes　2022/3/24

組織は、こうした脅威に対しても、積極的に対処し、サイバー犯罪を阻止する必要があります。特にメールは、このタイプの詐欺に最も頻繁に使用される手口であるため、メール領域へのセキュリティ対策は重要です。トレンドマイクロのレポートによると、脅威全体の74.1%がメールを介したものであり、中でもビジネスメール詐欺（BEC）がビジネス上の損失を引き起こす事例の上位に挙げられています※1。FBI（米連邦捜査局）は、2021年、BEC関連被害による損失額がおよそ24億ドルに達したと報告しています。
※1　Trend Micro Cloud App Security Threat Report 2021
※2　Internet Crime Complaint Center (IC3) 　Internet Crime Report　2021

これら一連の詐欺は、不正なリンクや添付ファイルを使用しないため、従来のセキュリティソリューションで阻止することが難しくなっています。AI、機械学習、挙動分析といった最新の防御技術を単一のダッシュボードに統合する多層化メッセージングセキュリティ（Layered Messaging Security）の技術が有効になります。くわえて、セキュリティ関連トレーニングの実施、セキュリティへの意識向上を目指した組織文化の醸成、セキュリティを重視したプロセスの改善といった取り組みにより、これらの問題を軽減することができます。

暗号資産関連の脅威を阻止する統合的なセキュリティ対策

組織にとっては、攻撃のライフサイクルを視野に入れたセキュリティ対策に取り組む上で、網羅的な可視性、検出、対処を提供できる統合サイバーセキュリティプラットフォームが重要となります。そしてより大規模なサイバー犯罪の問題に取り組むには、組織だけでなく、法執行機関などさまざまな機関との協力関係が重要となります。

Silk Roadを閉鎖に追い込んだケースは、こうした協力関係の効果を証明する好例といえるでしょう。Silk Roadは、その急速な発展と成功にもかかわらず、2013年、FBIによって閉鎖され、首謀者は逮捕され、後に有罪判決を受けました。連邦捜査官は、ビットコインの使用とTorによるアドレスの隠ぺいが捜査上の大きな障害になったことを認めながらも、他の組織との協力体制でこの困難を克服しています。
官民の連携は、組織が法執行機関にインシデントを正しく報告することが重要な第一歩となります。また、トレンドマイクロが運営する脆弱性発見コミュニティZero Day Initiativeなどのプログラムを通じて、影響を受けるベンダにアプリケーションの脆弱性を報告することも、サイバー空間のセキュリティを強化する上で、有効な取り組みとなります。脆弱性は、特定が迅速であれば、組織の防御強化のための修正対応も早く行うことができるからです。

統合サイバーセキュリティプラットフォームを介した連携により、組織は、セキュリティ体制を強化し、さまざまなサイバー恐喝の脅威を阻止することが可能となります。

本記事は2022年9月にUSで公開された記事の抄訳です。
翻訳： Core Technology Marketing, Trend Micro™ Research