不正なウイルス検索サービス「Scan4You」運営者に有罪判決、トレンドマイクロも捜査に協力
トレンドマイクロの脅威リサーチ部門「Forward-Looking Threat Research(FTR)チーム」は、2012年にScan4Youの調査を開始し、2014年以降は、この件を担当するFBIの捜査官と密に連絡を取り合ってきました。弊社は、運営者の逮捕および問題のサービス停止まで、調査から得られた知見を5年以上にわたってFBIに提供してきました。
2017年5月、サイバー犯罪者の活動を支援する不正なウイルス検索サービス「Scan4You」を運営していた主犯格の2名、Ruslans BondarsおよびJurijs Martisevs両容疑者がラトビアで逮捕され、米連邦捜査局(FBI)によって米国に送還されました。この逮捕の後、Scan4Youはサービスを停止しています。ヴァージニア州連邦裁判所は、2018年5月、この2名に対し有罪判決を下しました。
トレンドマイクロの脅威リサーチ部門「Forward-Looking Threat Research(FTR)チーム」は、2012年にScan4Youの調査を開始し、2014年以降は、この件を担当するFBIの捜査官と密に連絡を取り合ってきました。弊社は、問題のサービスが停止するまで、調査から得られた知見を5年以上にわたってFBIに提供してきました。
Scan4Youは、サイバー犯罪者が作成した最新のマルウェアが、主なアンチウイルス(AV)エンジンによって検出されるかどうかを確認する「カウンターアンチウイルス(Counter Antivirus、CAV)」サービスの1つです。サイバー犯罪者は、自身が作成したマルウェアの検出率を下げるために、マルウェアに微調整を加えながらこのようなサービスを利用してテストを行います。これにより、より効果的にサイバー攻撃を実施することが可能になります。
Scan4YouのようなCAVサービスを停止に追い込むことは、新しくサイバー犯罪に手を染めようとしている攻撃者の参入をより困難にする予防措置であると同時に、このようなサービスを利用する熟練したサイバー犯罪者に対しては、攻撃活動を容易に行わせない、またその費用を増加させる手段にもなります。何より、直接的なサイバー犯罪ではないとしても、それを助長するような活動も逮捕や起訴に繋がるという強いメッセージをアンダーグラウンドのサイバー犯罪者に対して発信することになります。
サイバー犯罪者は、信頼できるCAVサービスを選んでそれを使用します。そのため、Scan4Youの運営者がサイバー犯罪者からの評判を確立していたとしても驚くことではありません。Scan4You運営者の活動は遅くとも2006年には始まっており、最も長く続いているサイバー犯罪ビジネスのいくつかへの関与が確認されています。
彼らは、CAVサービスの運営の他に、「Eva Pharmacy」として知られる薬剤詐欺グループにも関わっていました。Eva Pharmacyは、薬剤詐欺グループの中では最も古くから活動している集団の1つで、迷惑メールと検索エンジン最適化(SEO)を利用した綿密なマーケティングによって処方薬を違法販売することで悪名をはせています。他にも、彼らは「SpyEye」や「ZeuS」のようなオンライン銀行詐欺ツール(バンキングトロジャン)の拡散にも加担していました。Scan4Youは、ラトビアのインターネット・サービス・プロバイダ(ISP)の企業ネットワークを利用していたことが確認されており、逮捕され有罪判決を受けた運営者の1人、Bondarsはラトビアのソフトウェア開発会社で働いていました。この会社は、誤解を招くような広告による詐欺だとして罰金を科されたものも含め、さまざまなWebサイトに関与していました。
Scan4Youでは各セキュリティベンダーの製品を使用し、スキャン結果を得ていたものと考えられます。トレンドマイクロ製品ではスキャン時に必要な情報をトレンドマイクロのサーバに問い合わせたり、フィードバックしたりする機能があります。Scan4Youではこれらの機能のうち、スキャンしたファイルに関するフィードバック機能は停止されていました。しかし、URL、IPアドレス、およびドメインのレピュテーションチェックについては停止されていませんでした。このため弊社では、2012年以降Scan4Youの活動に関して大量の情報を収集することができました。マルウェア作成者は、通常、新しい攻撃活動の開始直前に、利用するランディングページやコマンド&コントロール(C&C)サーバのレピュテーションをScan4Youでチェックします。弊社は、このようなレピュテーションチェックを解析することで、多くの事例において、不正なドメインの情報を入手することに成功しています。
これは「VirusCheckMate」や「AVDetect」のようなその他の主要CAVサービスも同様です。ファイルスキャン以外のフィードバック機能、URL、IPアドレス、およびドメインのレピュテーションチェックについては弊社が確認できる状態になっていました。これらのレピュテーションチェックの利用状況から、各CAVサービスの市場シェアを推測することができます。Scan4Youは数年間にわたって既知のCAVサービスの中では最も利用されていたサービスと言えました。
図1:各CAVサービスのURLスキャン利用状況(2015年)
(クラウド型次世代セキュリティ技術基盤「Trend Micro Smart Protection Network™」のデータに基づく。サンプルデータのため縦軸は省略)
Scan4Youは、トレンドマイクロがCAVサービスを停止に追い込んだ2つ目の事例です。弊社は、Scan4YouのAPIを利用する中規模のCAVサービス「Refud.me」に関する捜査でも法執行機関への協力を行いました。Refud.meの運営者は2015年に逮捕され、2018年に有罪判決が下されています。
Scan4Youは既知のCAVサービスの中では最大のサービスでした。同サービスの停止後、利用者の多くが、現在もサービスを継続している唯一の主要なCAVサービスVirusCheckMateに乗り換えることが予測されていましたが、弊社のデータでは、2017年5月以降、VirusCheckMateにおけるWebレピュテーションチェック利用量の顕著な増加は確認されていません。このことから、Scan4Youのユーザのほとんどは、公開されているCAVサービスの利用を停止したと考えられます。
Scan4Youの運営者、BondarsおよびMartisevsの逮捕は、アンダーグラウンドのサイバー犯罪者に対する重要なメッセージとなりました。つまり、罪の無い人々に被害を与えるマルウェアの作成や拡散だけが犯罪ではないということです。今回の逮捕に結びついたFBIと弊社による数年間の取り組みにより、あらゆるものがインターネットにつながろうとしている今日の世界を守る上で、もう一歩前進することができました。
アンダーグラウンドにおける最大のCAVサービスScan4Youとその運営者、そしてScan4Youに関連したその他のサイバー犯罪に関するより詳細な調査結果は「The Rise and Fall of Scan4You(英語情報)」を参照してください。
参考記事:
「Operators of Counter Antivirus Service Scan4You Convicted」
By Trend Micro Forward-Looking Threat Research Team
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)