先日、CarbanakマルウェアのソースコードがVirusTotalで発見された一件が、複数メディアで報じられました。Carbanakはこれまでで最も「成果」を上げてきた金融脅威として知られ、被害額は10億ドルと見積もられています。
Carbanakの歴史
当社のエキスパートが初めてCarbanakを発見し、解析したのは2014年のことでした。多発していた銀行ATMからの現金盗難を調査し始めたところ、これら事件の間に関連があることが判明しました。世界中の銀行から多額の金銭を盗むことを目的とした、大規模な国際的活動だったのです。当社のエキスパートたちは当初、東欧で発生した事件のみを調査していましたが、やがて米国、ドイツ、中国でも被害者が見つかりました。
その他の攻撃と同様、Carbanakの攻撃もスピアフィッシングメールから始まりました。ターゲットを絞り込んだメールに悪意ある添付ファイルが付いており、このファイルが、マルウェアCarberpのコードをベースにしたバックドアをインストールしたのでした。このバックドアが、標的となった組織のネットワーク(この場合は銀行のネットワーク)に対する侵入口となり、金銭を盗み取るのに利用可能なネットワーク内のコンピューターに感染していったのです。
サイバー犯罪者たちは、金銭を得る方法を複数持っていました。ATMにリモート指令を送って現金を吐き出させ、出し子に回収させる場合もあれば、SWIFTネットワークを利用して自分たちの口座へ直接送金する場合もありました。2014年当時、このような方法はまだ広く使われておらず、Carbanakの規模やそのテクノロジーは銀行界とサイバーセキュリティ業界を震撼させました。
きたる将来には、何が
Carbanakの発見以来、当社エキスパートは似たような戦術をとる複数の攻撃(たとえばSilence)を目の当たりにし、同じ犯罪者グループによる活発な活動が続いていることを示す兆候を追い続けています。 Carbanakのソースコードが公となった今、コーディングのスキルがない者でもこのように複雑なマルウェアを作り出すことが可能となりました。似たようなインシデントは、いっそう頻繁に発生する可能性があります。Carbanakの件を初期から追い続けているKaspersky Labのリサーチャー、セルゲイ・ゴロバーノフ(Sergey Golovanov)は、次のように述べています。
「悪名高きCarbanakのマルウェアソースコードがオープンソースのWebサイトで入手可能となっていた事実は、よくない前兆です。実際にCarbanakのマルウェア自体が、Carberpというマルウェアのソースコードがオンラインで公開された後、これをベースに作られています。同じことが繰り返されると考えるに十分な理由がありますし、将来的にCarbanakの危険な亜種が現れるでしょう。明るい話としては、Carberpのソースコード流出があって以来、サイバーセキュリティ業界は著しい進化を遂げているので、現在なら変更が加えられたコードも容易に認識することが可能です。私たちとしては、強固なセキュリティソリューションの導入によって、この脅威や将来的な脅威に備えることを、企業や個人の皆さんに強くお勧めします」
安全のための対策
Carbanakのような脅威から身を守る手段としては、以下を推奨します。
- 適切かつ最新の脅威情報を入手するため、また将来的な攻撃への備えとして、自社のSIEMおよびその他機密管理システムに脅威インテリジェンスフィードを統合する。Carbanakのような高度な脅威に対する防御を講じるには、脅威について知り、検知のために何を探すべきか知ることが必要であり、そうした重要情報を提供するのが脅威インテリジェンスフィードです。
- エンドポイントレベルでのイベントの検知、調査、タイムリーな修復を行うEDR(Kaspersky Endpoint Detection and Responseなど)を実装する。Carbanakのようなアクティビティを1つのエンドポイントで検知した場合は速やかな対応が求められますが、そのようなシチュエーションで役立つのがEDRです。
- 基本的なエンドポイントプロテクションの導入に加え、ネットワークレベルで高度な脅威を早期検知する企業向けセキュリティソリューション(Kaspersky Anti Targeted Attack Platformなど)を実装する。