2013 年 4 月、フランスに本拠を置く多国籍企業のバイスプレジデント秘書の元に 1 通のメールが届きました。メールには、大手のファイル共有サービスにアップロードされている請求書へのリンクがありました。数分後、同じ秘書に別のバイスプレジデントから電話がかかり、その請求書を調べて処理するよう指示がありました。バイスプレジデントは毅然とした口調で完璧なフランス語を話しましたが、実はこの請求書は偽物で、バイスプレジデントと名乗って電話をかけてきた人物が攻撃者でした。
請求書と言われたファイルの正体はリモートアクセス型のトロイの木馬(RAT)で、ウクライナにあるコマンド & コントロール(C&C)サーバーにアクセスするように設定されていました。攻撃者は RAT を使ってこの秘書のコンピュータに侵入し、キーストロークを記録する、デスクトップをのぞき見る、ファイルを参照して手に入れるといった直接制御に成功したことになります。
電子メールを送りつけた直後に流暢なフランス語で電話をかけるという今回の戦術はきわめて異例であり、ソーシャルエンジニアリングの先鋭化が見てとれます。シマンテックセキュリティレスポンスが、ヨーロッパの組織を標的にするこのタイプの攻撃について初めての例を詳しくお伝えしたのは、2013 年 5 月のことでした。その後の調べで、この攻撃の詳細な手口がわかってきました。動機は金銭の詐取で、攻撃は今もなお続いています。
大胆な手口
多くの企業と、その取引先である銀行は、不正な送金を防ぐための防御手段を講じています。しかし攻撃者は、その防御ラインをひとつひとつ打破するために、さらに大胆なソーシャルエンジニアリングの手口を繰り出すようになりました。たとえば、ある手口は以下のように実行されました。
- 攻撃者はまず、RAT を使って企業内のシステムに侵入します。
- システムが RAT に感染すると、攻撃者は企業の取引先銀行や通信プロバイダを特定できる情報(ディザスタリカバリ計画を含む)、プロバイダと銀行の担当者の連絡先やアカウントデータを取得します。
- このデータを使うと攻撃者は企業の担当者に偽装することができ、契約先の通信プロバイダに電話します。攻撃者は通信プロバイダに身元を証明し、物理的な災害が発生したと説明して自社の電話番号をすべて転送するよう依頼しますが、その転送先は攻撃者の管理下にある電話です。
- 電話番号の転送に続いてすぐ、攻撃者は企業の取引先銀行に FAX を送り、多数の海外口座への高額な電信送金をいくつも依頼します。
- この取引が異常であることから、銀行の担当者は記録にある企業の番号に電話をかけ、取引を確認します。この電話も攻撃者に転送され、攻撃者は取引を承認します。
- 複数の海外口座への電子送金が実行され、その資金は他の口座や金融機関を経てロンダリングされます。
別の例では、攻撃者は送金のために社内の専用システムを使う必要がありました。2 段階認証としてドングルが使われているためです。この攻撃の手順は以下のとおりです。
- 攻撃者は、IT スタッフに偽装して被害者に電話をかけ、送金システムの一部でシステムメンテナンスが必要になったと連絡します。
- このとき攻撃者は、顧客の個人情報保護を盾にとって、メンテナンスの実行中はコンピュータの画面をオフにしておく必要があると説明します。
- モニターがオフになっている間に、攻撃者は被害者の持つ有効なアクセス権を使って社内システムを操作し、海外口座への高額な送金を実行します。
また別の例では、攻撃者はマルウェアをまったく使いませんでした。この攻撃の手順は以下のとおりです。
- 攻撃者は行員の 1 人に偽装して実際の行員に電子メールを送信し、銀行のコンピュータシステムがアップグレードされると連絡します。このメールは申し分のないフランス語で書かれています。
- 翌日、攻撃者は電子メールを送信した相手に電話をかけ、同じ銀行の同僚であると名乗ったうえで電信送金の「テスト」を依頼します。
- 「テスト」と称された電信送金で、実際には海外口座に資金が送られてしまいます。
被害状況
攻撃に関する調査によると、被害を受けたのはフランスに拠点を置く数社の企業でした。攻撃者の目的は、企業の会計部門または同等の部門から海外口座に電信送金させることにありました。
図 1.フランス語話者による金銭詐取攻撃の標的となった業種
ほとんどの場合、最初の被害者は企業内の秘書または会計士でした。最初の被害者が送金の権限を持たない場合、攻撃者はその被害者の資格情報を使って、会計部門の中で送金の権限を持つ従業員を探し出します。攻撃者は、さらに次のソーシャルエンジニアリング行為によって、個人のコンピュータに侵入を果たしていました。
移動しながらの攻撃
電子メールと C&C のトラフィックを調べたところ、攻撃者はイスラエルに拠点を置いている、またはイスラエルを経由して攻撃を行っていることが判明しました。しかし、発信元 IP アドレスがイスラエルにあるというのは普通ではありません。イスラエル国内通信会社の携帯電話加入者のネットブロック内にあるからです。そして、この攻撃が実際にはモバイルネットワークから発信されていること、しかも攻撃者が MiFi カードを使っているという重大な事実も、トラフィック解析で確認されました。
図 2.フランス語話者による金銭詐取攻撃の C&C トラフィック
MiFi カードは、GSM セルラー無線機(GSM 電話と同等)であり、携帯電話ネットワークを通じてコンピュータシステムにインターネットアクセスすることができます。そのため、MiFi カード用の GSM SIM カードをバザーや個人販売で現金購入すれば、攻撃者は匿名性を確保できることになります。全世界の 3G プロバイダの多くは、プリペイド方式のデータ通信プランを用意しており、購入するとき身元証明が不要です。したがって、通信記録から個人を特定されることはありません。
さらに驚くべきことに、トラフィック解析からは、この攻撃者が攻撃を実行しながら常に移動していたことまで判明しています。このような防衛技術を利用されてしまうと、攻撃者の追跡はきわめて難しくなります。サイバー犯罪にこのような技術が使われるというのは、攻撃者が用いる手口がますます巧妙になっていることの表れです。移動中の MiFi カードを発見するには、特殊な機器を使う常駐の人物が待機する必要があり、通信プロバイダからも情報の援助を受けて MiFi カードの位置を検算しながら特定しなければなりません。
フランス語話者による金銭詐取は、サイバー犯罪者の活動がさらに高度になりつつあることを示す好例であり、この傾向は今後も続くと見込まれます。
今回の調査にご協力くださった Computer Emergency Response Team of Ukraine(CERT-UA)に感謝の意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。