今世紀最大規模の銀行強盗:10億ドルが盗まれる

APT攻撃の主な標的は、これまで政府組織でしたが、民間の金融機関も攻撃を受けるようになりました。APTグループCarbanakの攻撃によって、世界の銀行から合計10億ドルが盗まれています。

shutterstock_40164067_BL

APTAdvanced Persistent Threat)は情報セキュリティのエキスパートがよく取り上げる話題です。このような攻撃には、極めて高度なハッキングツールが使われることが多いためです。しかし、一般の人にしてみれば、こうした脅威は興味の対象になりません。

大々的に報じられた攻撃であっても、世間一般ではスパイ映画の話のように受け止められてきました。APTは最近まで憂慮すべき問題ではなかったのですが、それはAPTのほとんどが政府組織を標的としていたからです。調査の詳細はすべて極秘扱いで、経済に与える実際の影響も公表されていませんでした。

しかし、状況は変わろうとしています。APTの存在感が、民間部門で増してきました。より正確に言うなら、金融業界が標的となっているのです。また、攻撃による影響も、被害額としてある程度可視化できる状態になっています。世界各地の多数の金融機関を狙った、とあるAPT攻撃の被害総額は、10億ドルに上ると見積もられています

攻撃経路と媒介

銀行のイントラネットへ侵入するにあたり、攻撃者が利用したのはスピアフィッシングメールでした。受信者がメールを開くように誘導し、コンピューターをマルウェアに感染させたのです。インストールされるバックドアは、Carberpという悪意あるコードがベースになっていました。そのため、当社はこの攻撃を「Carbanak」と名付けました。

世界各地の多数の金融機関を標的とした1件のAPT攻撃の被害総額は、およそ10億ドル

サイバー犯罪者は感染したコンピューターの制御権を掌握すると、これを侵入口として利用しました。そして銀行のイントラネット内を探し回り、他のコンピューターに感染を拡げ、重要な金融システムへのアクセスに使われているコンピューターを突き止めました。

目的のコンピューターが判明すると、攻撃者はキーロガーや秘密裏にスクリーンショットを撮影する機能を利用して、銀行で使われている金融関連のツールを調べ上げました。

続いて、計画の仕上げとしてお金を引き出す段になると、その都度最も効果的なやり方を判断していました。SWIFT送金を使う方法のほか、偽の銀行口座を作成して「ミュール」(引き出し手として動く人物)に現金を引き出させる、遠隔操作でATMに命令を送る、などの方法が取られていました。

インフォグラフィック:Carbanak_ja

 平均的にいって、感染1日目から現金の引き出しまでにかかる日数は24か月でした。

推定被害額

さまざまな手段で標的の銀行から盗まれた額は、1行あたり250万~1,000万ドルでした。個別に見ても衝撃的な数字です。このAPT攻撃によって、数十(最大で100)の組織に損失が出ていることを考えると、被害額の合計は10億ドルに達する可能性があります。

この攻撃で大きな被害が発生した国は、ロシア、米国、ドイツ、中国、ウクライナなどです。Carbanakは現在、新たな地域に活動の場を広げており、マレーシア、ネパール、クウェート、アフリカの一部の国でも確認されています。

Carbanak_ja

 Kaspersky Labが得た情報では、Carbanakに初めて使用されたマルウェアのサンプルは、20138月に作成されたものでした。最初の感染が発生したのは201312月です。窃盗が成功した最初の事例は20142月から4月に検知され、攻撃のピークは20146月でした。

犯罪者は、逮捕されるまで攻撃の手を休めることはないでしょう。現在、各国のサイバー防衛機関と、ユーロポールやインターポールといった国際組織が共同で捜査を進めており、Kaspersky LabのGlobal Research and Analysis Team(GReAT)もこの取り組みに参加しています。

この脅威を防ぐためには

カスペルスキー製品をお使いの方には、次のお知らせがあります。

  • 法人向け製品では、Carbanakマルウェアの既知のサンプルが、Win32.Carbanak」および「Backdoor.Win32.CarbanakCmd」として検知されます
  • 高いレベルの保護を保つために、カスペルスキー製品に搭載のプロアクティブ保護モジュールを有効にすることをお勧めします。

また、こうしたセキュリティの脅威から身を守るためには、以下のヒントをご活用ください。

  • 不審なメール、特にファイルが添付されているメールは開かない。
  • 使用するソフトウェアを定期的に更新する。たとえば、今回の攻撃でゼロデイぜい弱性は利用されておらず、ベンダーがパッチを提供済みの既知のバグが利用されている。
  • アンチウイルス製品のヒューリスティック検知を有効にする。これにより、マルウェアサンプルを早い段階で検知できる可能性が高まる。

Carbanak攻撃の詳細と、GReATによる調査の詳しい内容は、Securelistのブログ記事でご確認ください。

ヒント