サイバー犯罪者の有罪判決や逮捕に関するニュースを目にしたとき、捜査の大半は世界各地にいるアンチマルウェアリサーチャーが担っていると考えてもらって間違いない。
スパムボットネットの停止であれ、Koobfaceを使う輩の閉め出しであれ、銀行を狙うトロイの木馬Zeusの背後にいる犯罪者の逮捕であれ – 世界各地の警察や法執行機関は、鑑識の実施や、サイバー犯罪者を有罪判決に持ち込むに足る信頼性を持つデータの作成にあたり、セキュリティリサーチコミュニティ(特にアンチマルウェア企業)のスキルに大きく依存している。
犯罪捜査に先立って行われる、悪意ある攻撃の身元特定や問題改善に必要な調査の実施にかかわるハードな取り組みについて、ジェフ・ウィリアムズ(Jeff Williams)氏はある程度ご存じだ。Microsoft Malware Protection Center (MMPC)のPrincipal Group Program Managerを務めたのちDell SecureWorksの一員となったウィリアムズ氏は、WaledacやZeus 、Kelihosなどメジャーなボットネットの停止に関わった経験をもつ。
ウィリアムズ氏はインタビューで、ほぼいつも世界のどこかのアンチマルウェアラボでスタートしている各種捜査には、いくつかのタイプがあると述べた。「警察が音頭を取る犯罪捜査の場合もあれば、私たちが新しいマルウェアを調査し始めたときに見えたセキュリティ全容から始まる場合もあります。犯罪捜査の場合でも、警察はマルウェアに関して深い知識を得るために私たちのところへやってきます。Microsoftでは、最優先事項は顧客を守ることでした。そのため、問題がどれほどの規模か、Windowsユーザーへの影響はどのくらいか、プロテクション提供のために何ができるかについて、見極め作業が必要でした。」
これは多角的な取り組みだ。ウィリアムズ氏は語る。「ラボの連中は単純作業をこなします。マルウェアの存在をつきとめ、続いてサンプル収集という重要な課題をこなし、リバースエンジニアリングを実施します。」この鑑識作業には、複雑な暗号アルゴリズムのリバースエンジニアリングや、マルウェアのファイルが攻撃者との通信に使っている可能性がある通信プロトコルの解析などの作業が含まれる。「私たちが知りたいのは、攻撃者のコマンドアンドコントロール基盤がバイナリをどのようにコントロールするのか、ノードはどこにあるのか、発せられるコマンドはどんなものか、ということ。作業はすべて、アンチマルウェアラボの中で行われます。とても重要な仕事です。」
ラボがマルウェアの内部を十分に理解すると、技術的な対策(定義データベースの更新や、防御技術の改良)の実装が開始される。訴訟に向けて法執行機関へアプローチする前に、そういったことを行うのだ。「ときには、ボットネットを制御する権利を得るために裁判所へ出向かなければなりません。そんなわけで、捜査活動を成功させるには、法執行機関をチームに引き入れて緊密に連携する必要があります。」
Kaspersky LabのGlobal Research and Analysis Teamを率いるコスティン・ライウ(Costin Raiu)は、サイバー犯罪の調査が「複雑」になり得る点について同意する。ライウのチームは、ボットネットの活動を停止させるために、MicrosoftやCrowdStrike、OpenDNS、セキュリティ業界のその他関係者と緊密に連携しながらの作業を経験しているが、彼はこれを「多角的」で労働力を必要とするものだと説明する。
「言わせてもらえば、リサーチャーの専門技能が決定的にものを言うときがあり、それが有罪判決に至るか逃してしまうかの違いを生むことがあります」とライウは述べている。
リバースエンジニアリングや警察とのデータ共有だけではない。セキュリティ調査チームは世界中のComputer Emergency Response Team(CERT)とも連携し、ハッキングされたサーバーの乗っ取りや停止を行ったり、裁判で使用可能な証拠やデータを集めるためにサーバーへ潜入したりする。
「サイバー犯罪は、さまざまな面をもつ、とてつもなく複雑な領域です。そのため、アンチマルウェアリサーチャーはハイテク犯罪等の裁判期間中、エキスパートとして助力を求められることがよくあります。」(ライウ)
アンチマルウェアラボが有するサイバーセキュリティの専門技能のひとつは、オープンソースインテリジェンス、またはOSINTと呼ばれるものだ。これは徹底した細かい作業だ。マルウェアの活動と攻撃者とを結びつける可能性がある何らかの手がかりを得るために、Webを丹念に見て回らねばならないこともしばしばだ。
Dell SecureWorksのウィリアムズ氏は、次のように語る。「捜査の過程では、サイバー犯罪者の身元を指し示すものが数多く見つかります。コードサンプルの一部分に、ニックネームや、特定のスタイルを持つコーディングが含まれていることがあります。こういう情報は、悪い輩の捜索を開始するポイントになり得るのです。」
リサーチャーは、コードの一片から得たニックネームや手がかり、登録済みドメイン名に紐づくメールアドレスなどを使用して、悪い輩がこのニックネームやメールアドレスを使っている場所がないかどうかFacebook、Twitter、YouTube、wiki、ブログ、その他の各種コンテンツをしらみつぶしに調べていく。
悪名高いKoobfaceの例では、Facebookのセキュリティチームは、セキュリティリサーチコミュニティとともにオープンソースインテリジェンスの手法による調査を行い、明らかに攻撃に関係すると目された人々の名前、写真、身元を公表した。これらの情報は、いわゆる「name-and-shame」(名前を公表することで恥ずかしい思いをさせ、こうした行為を抑制する)作戦の一環としてメディアへ提供された。
「作業の大半は顧客を守るために技術側で行われますが、得られた情報は、逮捕に役立つよう警察と共有されます。サイバー犯罪者の逮捕や訴訟に至った場合、仕事の大半はリサーチラボによるものだと言っても過言ではありません」と、ウィリアムズ氏は付け加えた。
「犯罪の追及や逮捕は、必ずしも初期活動の一部ではありません。しかし、アンチマルウェアラボが犯罪エコシステムのかく乱等を行うとき、そこから得られた結果については、逮捕や訴訟に活かすため警察や法執行機関に渡されます。」(ウィリアムズ氏)
同氏は、リサーチコミュニティの仕事は非常に質が高いものでなければならない、と繰り返し述べた。この情報は最終的に、説得力のある形で法廷へ提示されることになるためだ。
サイバーセキュリティのリサーチャーは、より悪質な攻撃 – とくに銀行を狙うトロイの木馬や金銭詐欺を行うボットネット – に対する法的調査のペースが遅いことに、しばしばいらだちを覚える。こうした捜査の遅さから、Facebookは法的措置が実施される前にKoobface関連調査の詳細公開に踏み切った。しかしウィリアムズ氏は、状況は好転していると指摘する。
「国境を越えて法律をもっと協調させる必要があるのは明らか。犯罪者たちは、どこで法律が緩いのか、何をすれば気づかれないか、どうやれば逮捕を免れることができるのか、よく知っています。しかし、こうした事件をどう裁けばよいか、法執行機関が理解しつつあるように思いますね。うまく解決された犯罪事件もいくつか見てきましたが、サイバー犯罪とは関係のない既存の法律が適用されていました。」同氏は、Zotobの事件を例にとってこう説明した。この事件では、マネーロンダリング、脱税、金銭詐欺に関する法律によってサイバー犯罪者が起訴されている。
「サイバー犯罪に関わる集団のかく乱や停止、追及に防御側が力を注ぐのは、自然な流れです。(ボットネットの)停止がなければ、犯罪者はお金を生み続け、このお金が将来の攻撃へと投資されていきます。かく乱がなければ、フェアな状況は生まれません。形勢を逆転させるに十分な連携や関係の構築、技術、法執行機関や警察との協力体制を、ようやく防御側が実現しつつあると思います。」(ウィリアムズ氏)