EyePyramid:のんきなマルウェア

イタリアの政府機関などから長年にわたり情報を収集していたマルウェアEyePyramid。複雑で高度なマルウェアとの報道もありますが、実際は単純なマルウェアで、作成者はサイバー犯罪の素人でした。

Kaspersky Daily(当ブログ)では、マルウェアをよく話題にします。取り上げるマルウェアの選定基準は、多くの人々に影響が及んでいることを当社のデータが示している場合、というのが一般的です。例を挙げれば、世界中の大勢の人々を攻撃したCryptXXXTeslaCryptなどがあります。世界にはマルウェアがうようよしていますから、ほんの数回しか検知されていないマルウェアまで1つ1つ記事にするのは無理というものです。

そうは言っても、ルールには例外がつきものです。というわけで、今回は「EyePyramid」(万物を見通す目)という名を持つマルウェアについてお話ししましょう。この名を付けたのは私たちではありません。このマルウェアの作成者です。世界的な影響力を持ったわけではないEyePyramidを取り上げるのは、このマルウェアが他とは違っていて、そのストーリーがどこかおとぎ話のようだからです。普通の人が破格の成功を収め、そして最後には失敗に終わる物語です。

イタリア人家族の家内制スパイ事業

そもそもEyePyramidは、家族経営の小事業でした。このマルウェアを開発したのは、原子力工学の学位を持つ45歳のイタリア人、ジュリオ・オッキオネーロ(Giulio Occhionero)。ジュリオは姉のフランチェスカ・マリア・オッキオネーロ(Francesca Maria Occhionero、48歳)と共に、開発したマルウェアの拡散に従事していたのでした。2人は、Westland Securitiesという小さな投資会社の共同創立者でした。

イタリア警察が先日発表した報告書(イタリア語)によると、EyePyramidはスピアフィッシングを通じて拡散されました。標的となったのは、主にイタリア政府職員、そのほかにフリーメイソン、法律事務所、コンサルティング会社、大学など。また、バチカンの枢機卿も含まれていました。

何が目的だったのでしょうか。EyePyramidが感染すると、このマルウェアの作者には、感染したコンピューターに入っているあらゆるリソースへのアクセス権が手に入ります。マルウェアの目的はただ1つ、情報を集めることでしたが、より有利な投資を行うためにこの情報が使われたと『SC Magazine』が指摘しています(英語記事)。アナリスト用ツールとしてのマルウェア、というわけです。私には投資と枢機卿の関係がいまひとつ不明なのですが、犯罪者たちは知っていたようです。

狙われた人々が著名人だったこと、そして、イタリア警察がEyePyramidに関する情報として公表したのが攻撃に使われたC&Cサーバー(指令サーバー)のアドレスと関連メール数通だけしかなかったことが、Kaspersky Labグローバル調査分析チーム(GReAT)の目を引きました。GReATのエキスパートたちは、独自調査(英語記事)を開始しました。

新米サイバー犯罪者

EyePyramidは複雑で高度なマルウェアだと主張するメディアもあるが、そんなことはない。むしろ、単純なマルウェアである

当社のエキスパートたちは、警察の報告書から得られた情報をもとにEyePyramidの検体を44種類も発見し、この「物語」への理解を深めていきました。EyePyramidは複雑で高度なマルウェアだと主張するメディアもありますが、そんなことはありません。むしろ単純です。2人のやり方はかなり大ざっぱで、たとえばマルウェアの入った実行ファイルの拡張子を隠すために複数のスペースを挿入する、といった具合です。この手口は、単純ながらうまくいきました。

また、オッキオネーロ姉弟の事業が犯罪部門を始動させたのはかなり前のことだったとも判明しました。当社が発見した最も古い検体は、2010年までさかのぼります。イタリア警察は、彼らは2008年から活動していた可能性があると述べています。

2人ともサイバー犯罪の分野では素人で、運用上のセキュリティ(OPSEC)をきちんと講じていませんでした。実際、セキュリティにはまったく無頓着で、被害者との話し合いに普通の電話(警察当局による通話の傍受が容易)やWhatsApp(つい最近までエンドツーエンド暗号化に未対応)を使っていましたし、2人の会社に関連づけられたIPアドレスの痕跡を残していました。

それにもかかわらず、イタリア警察の推定によると、この姉弟は少なくとも3年間、もしかすると8年以上にわたって活動を続け、被害者数は16,000、標的コンピューターへのアクセスに成功した回数は100回を超えていました。2人が手に入れた数十ギガバイトものデータは、投資実績の向上に役立ったことでしょう。

物語の結末

この物語は、「教育(この場合、運用上のセキュリティの学習)への投資は利をもたらす」という理論を見事に裏付けています。1月10日、ジュリオとフランチェスカはそろってFBIに逮捕されました。新米マルウェア開発者の連勝記録は、ここでストップです。

2人の長期にわたる活動は驚くべきことに思われるかもしれませんが、その秘訣はマルウェアの単純さにあったのではないでしょうか。徹底的に調査する対象としては面白みがなさそうに見えますし、Kaspersky Security Networkに記録された感染の試みは92件、有名なランサムウェアの感染試行回数に比べたら微々たるものです。それでも、犯人たちは牢の中。すべて世はこともなし。

ヒント