ネットバンク利用者攻撃ツール作者が罪を認める-トレンドマイクロがFBIに捜査協力
米司法省は、2014年1月28日(現地時間)、オンライン銀行詐欺ツールとして悪名高い「SPYEYE」の作成者がSPYEYEの作成および拡散に関連する罪状を認めたことを米連邦裁判所において公表しました。
米司法省は、2014年1月28日(現地時間)、オンライン銀行詐欺ツールとして悪名高い「SPYEYE」の作成者がSPYEYEの作成および拡散に関連する罪状を認めたことを米連邦裁判所において公表しました(※1)。この作成者であるAleksandr Andreevich Paninは、「Gribodemon」または「Harderman」としても知られていました。トレンドマイクロは、本件に関して米連邦捜査局(FBI)に長期間に渡り捜査協力し、重要な役割を果たしています。弊社は、犯人特定に役立つ「通称」や利用したアカウント情報などを提供しました。この捜査に関わったすべての組織の多大な労力が、今回の成功に導いたといえるでしょう。
Paninの仲間の1人がHamza Bendelladjで、「bx1」という名前を利用していました。PaninおよびBendelladjは、「SPYEYEの作成およびSPYEYE作成用ツールキット(以下、SpyEye)」に関連するドメインやサーバの作成および設置に関与しており、それによってトレンドマイクロはこの2名に関する情報を入手しました。SpyEye自体は、公に入手可能なファイルがほとんどない状態で作成された一方で、弊社はこれらのファイルとファイル内にある情報を入手できました。入手した情報の中には、例えばサーバ管理者のEメールアドレスなどの情報が含まれていました。
弊社は、入手したこれらのSpyEyeの環境設定ファイルから得た情報と、それとは別に入手した情報との関連性を検証しました。例えば、PaninおよびBendelladjがアクセスすることで知られるさまざまなアンダーグラウンドフォーラムにアクセスしました。彼らによる投稿を閲覧しただけで、彼らは不用意にも自身のEメールアドレスやICQ番号、「Jabber」の番号などを公開していました。こうした不注意が元で明らかになった情報は、彼らが誰であるのか特定できるものでした。
弊社は、C&Cサーバ「<省略>b.bz」と関連するSpyEyeのバイナリファイルおよび環境設定ファイルを発見しました。復号した環境設定ファイルには、Bendelladjの通称「bx1」が含まれていました。また、発見したサーバに存在する環境設定ファイルの1つには、Eメールアドレスが含まれていました。さらに、2つ目の環境設定ファイルも発見され、そこでも通称「bx1」が使われているとともに、サイバー犯罪者たちが利用する検出テストサービス「virtest」のログイン情報が確認されました(図1参照)。
図2にあるアンダーグラウンドフォーラムでの投稿は、Bendelladjが公で話している以上にSpyEyeに深く関与していることを示唆しています。
図3は、Bendelladjが利用した複数のWebサイト、Eメールアドレスおよび不正プログラムの関連性を示した図となります。
トレンドマイクロは、通称「Gribodemon」として知られるPaninについても同様の調査を実施しました。彼の犯罪仲間同様に、Paninが複数のドメイン名やEメールアドレスと関連していることを確認しました。
Paninは非常に巧妙に自身の痕跡を隠ぺいしていたと考えていたようですが、自身が思っているほど巧妙ではなかったのは明らかです。PaninがSpyEyeを販売していた時期、複数の通称およびEメールアドレスを使い分けているにもかかわらず、非常にずさんで不注意になっていたようです。弊社は、FBIと連携して捜査をしていた際に、彼の実際の正体を確認しました。
Paninは、2009年からSpyEyeの販売を開始し、当時広く知られていたツールキット「ZeuS」のライバルとしてすぐに認知されるようになりました。当時、ツールキット「SpyEye」は、低価格なことだけでなく、機能拡張プラグインを追加できるというZeuSにはない機能性から人気がありました。弊社は、2010年後半、SpyEyeの管理画面を2回に渡り詳しく調査(※2)しています。
サイバー犯罪者の中には、ZeuSと比較してSpyEyeのコーディングが粗末なことを理由に好まない者もいました。一方、SpyEyeが提供する機能を好む犯罪者もいました。いずれにせよ、SpyEyeは、サイバー犯罪者のコミュニティでは十分に認知されていたため、ZeuSの作者である「Slavik」が引退する際には、PaninにZeuSのコードを譲り渡しました。
Paninは、譲り受けたコードを用いてSpyEyeの旧バージョンとZeuSの特徴を組み合わせてSpyEyeの新バージョンを作成しました。また、SpyEyeの品質向上のためにBendelladjのような仲間にコーディング作業の一部を外注しました。後継バージョンにおいては、ZeuSからコードを再利用することを含めて、コードに大幅な変更(※3)が確認されています。
今回の逮捕から、セキュリティ企業が法執行機関と密接に連携することでどのような結果を残すことができるのかを示しています。サーバの閉鎖といった比較的早くそして簡単に復旧可能なダメージではなく、サイバー犯罪者に着目し追跡することで、アンダーグラウンド全体に永久的な「ダメージ」を与えることができました。トレンドマイクロは、サイバー犯罪にはこのようなアプローチで取り組むことですべてのユーザにとってより安全なインターネットを実現できると信じています。
参考記事(英語情報):
- Cyber Criminal Pleads Guilty to Developing and Distributing Notorious Spyeye Malware
http://www.nbcnews.com/storyline/sochi-olympics/behind-scenes-trapping-russian-hackers-n22361 - The SpyEye Interface Part 2: SYN 1
http://blog.trendmicro.com/trendlabs-security-intelligence/the-spyeye-interface-part-2-syn-1/ - SpyEye 1.3.4.x Comes with Noteworthy Modifications (Part 2)
http://blog.trendmicro.com/trendlabs-security-intelligence/spyeye-1-3-4-x-comes-with-noteworthy-modifications-part-2/
参考記事:
「Eyeing SpyEye」
by Loucif Kharouni(Senior Threat Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
【更新情報】
2014/02/0315:30本文を一部更新しました。