今世紀最大規模の銀行強盗：10億ドルが盗まれる

APT（Advanced Persistent Threat）は情報セキュリティのエキスパートがよく取り上げる話題です。このような攻撃には、極めて高度なハッキングツールが使われることが多いためです。しかし、一般の人にしてみれば、こうした脅威は興味の対象になりません。

大々的に報じられた攻撃であっても、世間一般ではスパイ映画の話のように受け止められてきました。APTは最近まで憂慮すべき問題ではなかったのですが、それはAPTのほとんどが政府組織を標的としていたからです。調査の詳細はすべて極秘扱いで、経済に与える実際の影響も公表されていませんでした。

重要インフラを狙うマルウェアとして、昨年大きな話題になったStuxnet。最初にターゲットとなった具体的な施設が判明…このマルウェアが登場した意味の重さがうかがえます。 http://t.co/h4b2UiBaFd pic.twitter.com/sJ8S6IaVZ7

— カスペルスキー 公式 (@kaspersky_japan) November 28, 2014

しかし、状況は変わろうとしています。APTの存在感が、民間部門で増してきました。より正確に言うなら、金融業界が標的となっているのです。また、攻撃による影響も、被害額としてある程度可視化できる状態になっています。世界各地の多数の金融機関を狙った、とあるAPT攻撃の被害総額は、10億ドルに上ると見積もられています。

攻撃経路と媒介

銀行のイントラネットへ侵入するにあたり、攻撃者が利用したのはスピアフィッシングメールでした。受信者がメールを開くように誘導し、コンピューターをマルウェアに感染させたのです。インストールされるバックドアは、Carberpという悪意あるコードがベースになっていました。そのため、当社はこの攻撃を「Carbanak」と名付けました。

サイバー犯罪者は感染したコンピューターの制御権を掌握すると、これを侵入口として利用しました。そして銀行のイントラネット内を探し回り、他のコンピューターに感染を拡げ、重要な金融システムへのアクセスに使われているコンピューターを突き止めました。

目的のコンピューターが判明すると、攻撃者はキーロガーや秘密裏にスクリーンショットを撮影する機能を利用して、銀行で使われている金融関連のツールを調べ上げました。

続いて、計画の仕上げとしてお金を引き出す段になると、その都度最も効果的なやり方を判断していました。SWIFT送金を使う方法のほか、偽の銀行口座を作成して「ミュール」（引き出し手として動く人物）に現金を引き出させる、遠隔操作でATMに命令を送る、などの方法が取られていました。

 平均的にいって、感染1日目から現金の引き出しまでにかかる日数は2～4か月でした。

推定被害額

さまざまな手段で標的の銀行から盗まれた額は、1行あたり250万～1,000万ドルでした。個別に見ても衝撃的な数字です。このAPT攻撃によって、数十（最大で100）の組織に損失が出ていることを考えると、被害額の合計は10億ドルに達する可能性があります。

この攻撃で大きな被害が発生した国は、ロシア、米国、ドイツ、中国、ウクライナなどです。Carbanakは現在、新たな地域に活動の場を広げており、マレーシア、ネパール、クウェート、アフリカの一部の国でも確認されています。

 Kaspersky Labが得た情報では、Carbanakに初めて使用されたマルウェアのサンプルは、2013年8月に作成されたものでした。最初の感染が発生したのは2013年12月です。窃盗が成功した最初の事例は2014年2月から4月に検知され、攻撃のピークは2014年6月でした。

銀行口座すら介さずにATMから現金を引き出す…。こんなことを可能にするマルウェアをKaspersky Labが突き止め、「Tyupkin」と名付けました。 http://t.co/OklwAg8Udm

— カスペルスキー 公式 (@kaspersky_japan) October 14, 2014

犯罪者は、逮捕されるまで攻撃の手を休めることはないでしょう。現在、各国のサイバー防衛機関と、ユーロポールやインターポールといった国際組織が共同で捜査を進めており、Kaspersky LabのGlobal Research and Analysis Team（GReAT）もこの取り組みに参加しています。

この脅威を防ぐためには

カスペルスキー製品をお使いの方には、次のお知らせがあります。

• 法人向け製品では、Carbanakマルウェアの既知のサンプルが、「Win32.Carbanak」および「Backdoor.Win32.CarbanakCmd」として検知されます。
• 高いレベルの保護を保つために、カスペルスキー製品に搭載のプロアクティブ保護モジュールを有効にすることをお勧めします。

また、こうしたセキュリティの脅威から身を守るためには、以下のヒントをご活用ください。

• 不審なメール、特にファイルが添付されているメールは開かない。
• 使用するソフトウェアを定期的に更新する。たとえば、今回の攻撃でゼロデイぜい弱性は利用されておらず、ベンダーがパッチを提供済みの既知のバグが利用されている。
• アンチウイルス製品のヒューリスティック検知を有効にする。これにより、マルウェアサンプルを早い段階で検知できる可能性が高まる。

Carbanak攻撃の詳細と、GReATによる調査の詳しい内容は、Securelistのブログ記事でご確認ください。