2016年初め、主要報道機関が一斉に報じたところによると、バングラデシュ中央銀行から約9億5100万ドルを盗み出す計画があり、その一部である8,100万ドルが強奪されました(ロシア語記事)。Kaspersky Labは他のサイバーセキュリティ組織とともに、サイバー犯罪集団「Lazarus」が引き起こした事件の調査に積極的に取り組みました(英語記事)。
Kaspersky Labでは、1年余りに及ぶ調査を経て、Lazarusが使用していたツールと手口を徹底解明しました。この犯罪集団が標的としたのは金融機関やカジノ、このほか投資会社に勤務するソフトウェア開発者までが標的となっていました。
攻撃者はまだ捕まっていません。先に挙げた業界の各企業は、システムの入念なチェックを検討するべきときです。そのためには、この集団がどのように活動するのか理解することが肝要です。
Lazarusの手口
第1段階:システムへの侵入
狙った組織内にあるコンピューターのうち1台を入口としてシステムに侵入します。一般的に、コードの脆弱性をリモートから悪用する方法か、従業員を悪意あるWebサイトへ誘導する形で侵入が行われます。システムへの侵入に成功すると、攻撃者はコンピューターをマルウェアに感染させます。
第2段階:感染の拡大
感染を広げます。攻撃者は豊富なツールセットを駆使し、標的企業のネットワーク内のその他マシンへとバックドアを感染させていきます。Kaspersky Labはこれまでに、Lazarusが使った悪意あるプログラムを150種類以上特定しています。
第3段階:情報の収集
ITインフラに関する情報を集めます。攻撃者が狙うのは、金融系ソフトウェアで使用される認証情報です。認証情報を手に入れるために、攻撃者はバックアップサーバー、ドメインコントローラー、メールサーバーなどを調査します。
第4段階:取引の実行
金融系ソフトウェアのセキュリティ機能を迂回するようにマルウェアをカスタマイズし、標的のアカウントを通じて無断で取引を実行します。あとは現金を引き出すだけですが、これは大して難しい作業ではありません。
企業が取るべき対策
このようなタイプの窃盗を阻止するには、以下の項目を網羅する包括的なセキュリティ戦略を立てる必要があります。
- 標的型攻撃を検知する機能を持つ製品を利用して、金融系ソフトウェアを支えるITインフラを確実に保護する。
- 脅威の状況や侵入防止システムに関する情報を従業員へこまめに提供することで、従業員の間でサイバーセキュリティに対する高い意識が保たれるようにする。
- セキュリティ監査を定期的に実施し、脆弱性やセキュリティ侵害の痕跡(IoC)を確実かつタイムリーに検知する。
- ログイン名、パスワード、認証トークンなどが保存されている可能性のあるバックアップサーバーを保護する。
- 金融取引に使用されるソフトウェアを適切に設定し、専門家やソフトウェア開発者が推奨する事項に従う。
- 自組織のITインフラ内にIoCを発見した場合、セキュリティエキスパートによる専門サービスを依頼してインシデントを徹底的に調査する。
当社の経験上、攻撃者がすでにITインフラに侵入していた場合でも決して手遅れではなく、金銭的損失や風評被害の拡大を阻止することが可能です。
Lazarusの攻撃およびIoCの詳しい解析については、Securelist(英語)をご覧ください。