ニューヨーク州連邦地裁の大陪審は、米国の銀行その他の機関に対する一連のサイバー攻撃の罪で、イラン人 7 人を起訴しました。これは 2011 年から 2013 年にかけて起きた攻撃で、通常は分散サービス拒否(DDoS)攻撃の形をとりますが、その多くでは Brobot(PHP.Brobot)として知られるマルウェアが使われていました。
この 7 人は、イラン政府と関係があるとされています。罪状によると、金融機関への攻撃だけでなく、宇宙機関 NASA に対する攻撃にも関与していました。また 7 人のうち 1 人は、2013 年、ニューヨークのボウマン・アベニュー・ダムに対してサイバー攻撃を実行した容疑も問われています。
起訴状の中で FBI は、攻撃に使われたマルウェアの名称を具体的にはあげていませんが、記載された攻撃のタイミングは、シマンテックが確認した攻撃と一致しています。
2 つのグループを特定
起訴された 7 人は、2 つのグループとして別々に活動していたとされています。Ahmad Fathi、Hamid Firoozi、Amin Shokohi の 3 人はイランに本拠を置く企業 ITSecTeam 社の従業員でした。Sadegh Ahmadzadegan(別名 Nitr0jen26)、Omid Ghaffarinia(別名 PLuS)、Sina Keissar、Nader Saedi(別名 Turk Server)の 4 人は、もうひとつの企業 Mersad 社に勤めていました。訴状によると、両社の事業はイラン政府、特にイスラム革命防衛隊と関係があったとされています。
幅広い標的
一連の攻撃が始まったのは、2011 年 9 月 18 日です。このときは、「Izz ad-Din al Qassam のサイバー戦士」を自称するグループが犯行声明を出しました。声明の内容は、米国が「冒涜的な」映画の制作に関与したことを糾弾する活動の「第一段階」として、バンク・オブ・アメリカとニューヨーク証券取引所を攻撃した、というものでした。
この攻撃は 2013 年まで続き、銀行その他が広い範囲で標的になりました。Mersad 社のグループが狙ったのは、キャピタルワン銀行、ING 銀行、BB&T、フィデリティ・ナショナル、US バンク、PNC 銀行、NASDAQ 証券取引所、電気通信会社の AT&T などだったということです。
一方、ITSecTeam 社のグループが標的にしたとされているのは、アリー・バンク、アメリカン・エキスプレス、アメリプライズ、モントリオール銀行、BB&T、BBVA、キャピタルワン、JP モルガン・チェース銀行、シティバンク銀行、シチズンズ銀行、フィフスサード銀行、ファーストバンク、HSBC、キー・バンク、PNC、リージョンズ・バンク、ステート・ストリート銀行、サントラスト・バンク、ユニオンバンク、US バンク、ウェルズ・ファーゴ、シオン・ファースト・ナショナル銀行です。
Sadegh Ahmadzadegan と Omid Ghaffarinia の 2 人は、2012 年 2 月に NASA への攻撃を実行した罪も問われています。このときは、サーバーが侵入を受け、NASA の Web サイトが改ざんされています。
一方 Hamid Firoozi 容疑者は、2013 年のボウマン・アベニュー・ダムに対する攻撃に関与した罪を問われています。Firoozi 容疑者は、同ダムの SCADA 制御システムに不正アクセスをしたとされており、水位や水温、あるいは水門の状態に関する情報にアクセスできたといいます。通常であれば、SCADA システムにアクセスされたら水門を制御されていたはずですが、このときは Firoozi 容疑者の知らないところでメンテナンスのために水門はシステムから切断されていました。
一連の攻撃で、銀行の Web サイトがいくつも停止状態になり、顧客はオンライン口座にアクセスできなくなりました。司法省によると、被害者が要する修復コストは全体で数千万ドルに及ぶといいます。
Brobot の活動
このグループが関与する攻撃のほとんどに、Brobot マルウェアを利用するボットネットが関係していました。Brobot は、主にサーバーを狙うマルウェアで、感染したサーバーをボットネットに追加し、それを利用して DDoS 攻撃を実行します。被告は、このボットネット構築の罪も問われています。その手口は、インターネットをスキャンして、「定番の Web サイトコンテンツ管理ソフトウェア」の古いバージョンが稼働しているサーバーを見つけ出すというものです。古いバージョンは、パッチを適用しないまま既知の脆弱性が放置されていることもあり、そこを突けば侵入先のサーバーに Brobot マルウェアをインストールできるからです。
国外の攻撃者も訴訟は免れられない
サイバー攻撃に関与する個人や組織を特定することは、難しい場合が多いのも確かです。しかし、今回のような法執行機関による大がかりな捜査を見ると、けっして不可能ではありません。たとえ国外で活動する攻撃者であっても、米国内での摘発と訴訟を免れるわけではないということを、今回の起訴は改めて実証してくれました。
保護対策
シマンテック製品とノートン製品は、この脅威を以下の定義で検出します。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】