Bayrob という名で以前から知られていた詐欺行為に関与し、被害者から数百万ドルをだまし取ったとして、ルーマニア人の男 3 人が米国で起訴されました。Bogdan Nicolescu(別名 Masterfraud、mf)、Danet Tiberiu(別名 Amightysa、amy)、Radu Miclaus(別名 Minolta、min)の 3 人で、今年初めにルーマニア警察によって逮捕されていましたが、16 日に米国に引き渡されました。現在、詐欺、ID 情報の盗取、マネーロンダリング、偽造商品・サービス違法売買の容疑で取り調べを受けています。
シマンテックの調べによると、Bayrob のグループはサイバー犯罪を生業とし、オンライン詐欺で生計を立てています。なかでも、巧妙な詐欺を得意としており、説得力のあるメールや偽サイト、音声メッセージ、さらにはカスタマーサポート用チャットルームまで徹底的に作り込んで、被害者を欺こうとします。
このグループが手の込んだ詐欺行為を専業として始めたのは、偽の自動車オークションをでっち上げ、被害者から何万ドルもだまし取ったときからです。その後は、クレジットカードの盗取から、感染したコンピュータを利用した暗号通貨のマイニングまで、多種多様な詐欺やマルウェア操作へと手口を広げています。
FBI によると、Bayrob グループは過去 8 年間にわたって少なくとも 400 万ドルを被害者からだまし取っていたといいますが、実際の被害総額は最大 3,500 万ドルに達する可能性もあります。また、このグループによって感染したコンピュータが 60,000 台から 16 万台に及ぶこと、1,100 万通の悪質なメールが送信されたことも確実です。
今回の逮捕は、法執行機関の 8 年間に及ぶ捜査の最終的な成果であり、それを支えたのがシマンテックでした。この間に、シマンテックはいくつものバージョンの Bayrob マルウェアを発見しました。また、有益な調査データを集め、Bayrob が単なるオンライン詐欺から、暗号通貨をマイニングする 30 万超のボットネットにまで変化する経緯についても証言してきました。
シマンテックは、このグループの活動を暴き出し、主犯格の人物、その手口やマルウェア、企図された犯罪活動とその影響などを詳しく把握することに成功しています。
巧妙な自動車オークション詐欺
Bayrob をシマンテックが初めて目にとめたのは 2007 年、オークションサイト eBay で自動車を購入しているものと被害者に信じ込ませる手口の詐欺が確認されたときのことです。被害者のコンピュータが、カスタム設計のマルウェア(Trojan.Bayrob)に感染すると、偽の eBay サイトが表示され、ユーザーは自分が正規のオークションに参加していると思い込んでしまいます。
グループは、被害者候補を見つけるために、eBay や求人広告サイトなど、数多くの Web サイトに車の売り広告を掲載しました。質問したり車に値を付けたりなど、広告に興味を示した人がいれば、それが被害者候補になります。グループは次に、販売が終了したように見せますが、被害者候補にはそのあとでメールを送って、売買は成立しなかったと伝え、まだ購入希望はあるでしょうかと持ちかけます。
このメールには、販売中ということになっている車を撮ったスライドショーが添付されており、そのファイルが Trojan.Bayrob に感染していました。被害者がこれを開くと、マルウェアがコンピュータにインストールされます。
図 1. 販売中とされる車を撮ったスライドショーのファイルが、トロイの木馬 Bayrob に感染している
Trojan.Bayrob が被害者のコンピュータ上で実行されていることを確認すると、攻撃者は詐欺を次の段階に進め、新しいオークションサイトへのリンクと称する URL を記載したメールを送信します。トロイの木馬が動作を始めるのは、ここからです。そのリンクをクリックすると、被害者は偽の eBay ページにリダイレクトされます。そこで車の購入を決めると、銀行振込で支払いを処理するよう指示されますが、振り込まれた資金はマネーミュール(送金仲介人)が所持する口座に送金され、売上金として最終的にグループに送金されるという仕組みです。
被害者から見ると、本物の eBay サイトでオークションを閲覧しているように見えますが、感染していないコンピュータから同じリンクを開いてみると、該当するオークションは存在しないことがわかります。Bayrob グループは、詐欺を本物らしく見せるために、かなりの手間をかけていました。メールは流暢な英語で書かれており、Trojan.Bayrob 自体も想定被害者に合わせてカスタマイズされているうえ、偽 eBay の Web ページには、架空の「売り主の声」まで掲載されているという細かさです。Trojan.Bayrob には、エスクローサービスや配送サービスの偽ページを使って、車に関する偽の履歴レポートを生成する機能まで用意されていました。
新しい車を購入したと思って何千ドルかを送金しても、実際には何も届かないのですから、Bayrob 詐欺が被害者に与える被害は甚大です。
発覚と拡大
Bayrob の活動を最初に暴いたのはシマンテックでした。2007 年、シマンテックが一連のブログで eBay 詐欺を取り上げ、一部のメディアも Bayrob の活動を報じています。グループはこれに猛反発。いっときは、登録するコマンド & コントロール(C&C)サーバーのドメイン名に、シマンテックの研究者をののしる内容を使ったり、シマンテックに対する非難をコードに書き残したりするほどでした。
図 2. Bayrob グループがシマンテックについてコード内に書き残した、控え目な部類の中傷
そして、世間の注目が集まってもグループは手をゆるめず、さらに拡大を続け、手口を磨きました。たとえば、偽のトラック運送会社を作り、購入された車を被害者の元へ届ける際にはその会社を使うと称しています。この運送会社からは、まず注文の車両を配送中であるという知らせがありますが、次には配送が遅れるというメールが届きます。電話回線と偽の音声メールサービスまで用意して、さらに本物らしさを演出していました。偽のトラック運送会社まで作る目的はただひとつ。被害者が詐欺だと気付く前に金銭を手に入れられるように、できるだけ長く被害者をだまし続けることです。
図 3. Bayrob グループは偽のトラック運送会社をでっち上げ、注文した車がすでに出荷されていると思い込ませて、被害者を少しでも長くだまし続けようとする
マネーミュールのネットワーク
詐欺の売上金をルーマニア国内まで移送するために、Bayrob グループはマネーミュールの広範なネットワークを築き上げました。ミュール候補を探すには、求人広告サイトに偽の求人広告を掲載します。よくあるサイバー犯罪の手口のように「在宅勤務」を謳うのではなく、グループはたいてい、正規の求人広告をコピーしていました。これも、本物らしく見せる工夫のひとつです。求人に応募があると、その職はすでに採用が決まったと告げ、別口として在宅勤務があると持ちかけます。
他の活動と同じく、マネーミュールの求人も本物らしく進められ、一連の偽 Web サイトやリアルなメールなどで補強されていました。たとえば、テクノロジ企業の求人を紹介するといった手法です。被害者のなかには、Yahoo Transfers と称する Yahoo の偽の子会社で採用が決まった、という通知を受け取った人までいました。
図 4. マネーミュールが、Yahoo の偽の子会社で採用が決まったという通知を受け取ったケースもある
グループが詐取した金銭を扱うという性格上、マネーミュールは採用段階で、Google 検索、インスタントメッセージ、VoIP 電話などを使って徹底的に調べられます。ミュールの採用は、米国でもヨーロッパでも実施されました。米国での被害者は、米国在住のミュールが管理する銀行口座に支払い金額を振り込むよう指示されます。米国在住のミュールは、次のミュールに送金するよう指示されますが、送金先はたいてい、東ヨーロッパの国内でした。そこから最終的に、資金がグループのメンバーに送られていたようです。
米国内のミュールは、ほとんどの場合、困難な状況に立たされている無防備なユーザーでした。どんなことに関与しているのか気付かず、覚えのないまま詐欺の片棒をかついでしまっていたようです。ヨーロッパ側のマネーミュールについては詳しくわかっていませんが、ほとんどは偽の ID を使って、送金された資金を回収していたと思われます。ということは、グループの犯罪についてもっと共犯意識が深かったのかもしれません。
米国内のミュールは、受け取り方法を 2 種類から選べました。送金した資金の 6% を受け取るか、全額を送金したうえで後から総額の 10% 相当の小切手を受け取るかです。小切手の選択肢は詐欺で、そちらを選んだ場合にはグループから 1 円たりとも受け取れませんでした。マネーミュールにも逮捕と起訴の危険性があるにもかかわらず、そのミュールを裏切り、搾取さえしているという良心の呵責は、Bayrob グループにはまったくなかったようです。
活動の多様化
その後 Bayrob グループは、オークション詐欺という当初からの枠を広げ、違う手口のサイバー犯罪にも乗り出しました。たとえば、感染したコンピュータのユーザーからクレジットカード情報を盗み出し、さらに活動を拡大するためのオンラインインフラストラクチャあるいはサービスを、そのカードの資金で購入しています。
グループは最近になって、ボットネットを構築する目的で、感染したコンピュータの数を急速に増やすことに専念しています。もっぱらオークション詐欺だけに関わっていた頃は、一度に感染するコンピュータの数もせいぜい 1,000 台前後でしたが、2014 年までにはそれが約 50,000 台に跳ね上がり、2106 年なかばには 30 万台を超え、さらに増え続けています。
こうしたボットネットの主な目的は、暗号通貨のマイニングだろうと考えられます。感染したコンピュータを大量に使えば、マイニングで大きい稼ぎを得られるだけの処理能力を利用できるからです。
捜査上の大きな躍進
2011 年以降、シマンテックは Bayrob グループのネットワークを段階的に明らかにすることに成功し、犯行の全貌をつかめるようになってきました。シマンテックの調査で得られた情報は、Bayrob マルウェアに対する保護の向上に役立っているだけうえに、今後の攻撃を防ぐ効果もあり、潜在的な被害者に対する警告にもなっています。シマンテックによる調査結果は FBI の捜査にも貢献しているため、最近の調査で判明した事実については、FBI の捜査が完了するまで公開しない方針をとることにしました。
Bayrob は、内部で高度なセキュリティを実現していました。グループのオンライン通信は徹底的に暗号化されており、メールは PGP で、インスタントメッセージは OTR(Off-The-Record)メッセージングプロトコルでそれぞれ暗号化されています。
痕跡を残さないように、グループは二重のプロキシの裏に隠れることも忘れていませんでした。まずルーマニア国内のプロキシに接続し、さらに米国のプロキシを経由していましたが、シマンテックの調査が大きく進んだきっかけは、そのプロキシの使い方に弱点が見つかったことでした。この弱点のおかげでグループの悪質な活動が発覚し、シマンテックが保護しているコンピュータ上でその活動を受動的に調べることができたのです。
シマンテックの調査には、時間と忍耐力が必要でした。あるときには、グループの悪質な活動を 1 年半にわたって監視し続けたところ、エラーのおかげで容疑者のひとりが浮かび上がりました。時間をかけてグループのインフラストラクチャが解明され、それがグループの犯行をさらに把握する糸口になりました。
Bayrob グループの追及も、シマンテックが長期にわたって継続的に実施している調査のひとつにすぎません。どの調査も、お客様を守りたいという動機でシマンテックが続けているものです。今回の逮捕で、セキュリティ企業と法執行機関が効果的に協力することの真価が明らかになりました。また、世界的なサイバー犯罪者グループに対しては、司法の網から決して逃れられないのだという明白なメッセージになったことでしょう。
保護対策
シマンテック製品は、複数のセキュリティ層を利用して Bayrob グループのマルウェアからお客様を保護します。保護機能は 2007 年以降も常に更新されており、Bayrob マルウェアの新種はすべて遮断されます。
シマンテックとノートンの製品をお使いであれば、以下の検出定義で Bayrob マルウェアから身を守ることができます。
ウイルス対策
侵入防止システム
以上に加え、シマンテックの汎用検出機能でも Bayrob は確実に遮断されます。汎用検出機能を保護層に追加すれば、攻撃者はマルウェアを遮断している検出機能を特定しにくくなるため、悪用される可能性はさらに低くなります。
詳しい情報
シマンテックは、2007 年以降に発見されてきた Bayrob マルウェアの亜種すべてについて、詳しい技術情報と侵害指標を集めています。情報セキュリティコミュニティのどなたにも、ご希望があればこの情報をご提供いたします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】