** 本記事は、Beyond the kill chain: What cybercriminals do with their money (Part 5) の翻訳です。最新の情報は英語記事をご覧ください。**
内容に関する警告: ソフォスが発見した一部の行為の性質上、本連載記事には一部の読者にとって不快に感じられる可能性のある内容が含まれています。これには、不適切な言葉遣い、薬物や薬物依存、ギャンブル、ポルノ、暴力、放火、性風俗業に関する言及が含まれます。これらの言及は文章によるものであり、画像や動画は含まれていません。
前回まで、犯罪フォーラムで議論されている、「合法的」およびそうでないビジネスへの関心について探ってきました。本記事では、これらの活動がもたらす意味と機会について検討します。
本連載を通じて述べてきたように、攻撃者の犯罪活動が他の業種へと多角化することは、さまざまな悪影響を及ぼす可能性があります。攻撃者の活動の妨害、特に資産の差し押さえが困難になり、「資金の流れを追う」捜査がより複雑化する可能性があります。また、攻撃者の富、権力、影響力が増すことも捜査をさらに複雑にする可能性があります。加えて、犯罪被害が直接的・間接的により多くの人々に及ぶことになります。
サイバーセキュリティ業界はサイバー犯罪を、ネットワークやホストといった仮想空間内に限定された専門的で単発の活動として扱う傾向にあります。サイバーセキュリティ業界の取り組みは、「サイバーキルチェーン」や従来型の脅威インテリジェンス、そして防御・セキュリティ意識向上といった予防策の強化に注力することが一般的です。そして、攻撃が発生した後の私たちの関心は、インシデントに対処しようとしている組織であれ、詐欺にあった個人であれ、被害者に向けられます。
その一方で、攻撃者は影に隠れてしまい、彼らが攻撃後に何をするのか、あるいはその資金がどこに行くのかについて考えることは通常ありません。この問題は、今までのセキュリティ研究においては優先的に扱われてきませんでした。
しかし、サイバー犯罪者が得た利益をどのように利用・投資しているのかにもっと注目すべきかもしれません。そうすることで、攻撃の帰属、動機、関係性などに関するさらなる調査やインテリジェンスの機会が得られる可能性があります。
さらに、今回の連載で明らかにしたいくつかの活動は、攻撃者を特別視すべきではないことを強く示唆しています。彼らはただのサイバー犯罪者ではありません。完全な犯罪者そのものです。彼らは標的を犠牲にして金儲けをする人間であり、それ以上に彼らを美化したり、称えたり、描いたりすべきではありません。ソフォスの調査によると、少なくとも一部の攻撃者は、オンラインと現実世界の両方で、搾取的かつ有害な違法行為に従事しており、実際に利益を得ています。
合法的な収益と違法な収益、そしてサイバー犯罪と現実世界での犯罪・ビジネスの境界における積極的な情報収集と調査は、攻撃者にとって最も痛手となる資金源に打撃を与えるのに役立つ可能性があります。容易に実行できるとは言いませんが、本連載で共有した情報は、この分野における今後の取り組みや研究の基礎を築く貴重な第一歩となるでしょう。
攻撃の帰属と調査手段
以前の記事で示したように、攻撃者が犯罪フォーラムで詳細に説明するスキームやシステム (時にはスクリーンショット、写真、具体的な経歴情報を伴う) は、これまであまり注目されていなかった調査や攻撃の帰属の特定につながる可能性があります。こうした情報は多くの参加者が匿名である犯罪フォーラムで特に有用です。
たとえば、今回の調査の過程で、攻撃者が「合法ビジネス」に関する議論の中で、以下のような情報を明かしていた例が確認されました。
- 住居あるいは活動地域の大まかな所在地 (国/地域/町)
- 年齢、配偶者の有無、子供の有無などの経歴情報
- プロフィールの写真、氏名、住所、参照番号などが写った無編集の、または部分的に編集されたスクリーンショット
- オープンソース調査によって特定される可能性のある場所の写真
- 時には日時も含めた、具体的な金額や購入内容への言及
- 身元特定に利用できる可能性のある、前科への言及
- 合法または非合法の計画や活動に関する詳細な議論
- 弁護士、会計士、知人などから受けたアドバイスの詳細
己の敵を知れ
本調査はまた、攻撃者たちがマネーロンダリングや資金の合法化に関する手法についての知識のみならず、さまざまな業界の構造、抜け穴、規制、捜査手法、そして各国・各地域の法律について、いかに幅広く深い知識を持っているかを明らかにしています。これらの情報はすべて、攻撃者が何を知っていて、何を知らないかという捜査当局にとって有益な洞察となり、今後の作戦に役立てられる可能性があります。また、今回の分析は脅威の全体像をより広い視野で捉えることにもつながります。サイバー空間における脅威の状況が、他の犯罪領域における脅威とどのように相互作用し、重なり合っているかを明らかにすることで、より詳細な戦略的インテリジェンス像が得られます。
協働の機会
Sophos X-Ops の調査が、サイバーセキュリティ業界、法執行機関、そして規制当局の間における、より緊密な連携を促す一助となることを願っています。というのも、こうした連携によって、私たちが日々対処しているインシデントを、法執行機関や規制当局が調査する権限および責任を持つ現実世界での犯罪・資産・事業と結びつける手助けができるからです。もちろん、この問題を私たちの調査だけで解決できるとは考えていません。しかし、協力や情報共有を促すための有益な共通基盤となる可能性はあると考えています。
今回明らかとなった、カード詐欺犯と麻薬密売人との関係、攻撃者とさまざまな業界・業種との関係、攻撃者と現実世界の犯罪行為との関係などの証拠は、一部のサイバー犯罪者が、得た資金を (犯罪経済・合法経済を問わず) より広範な経済に流し込んでいる可能性を示唆しています。こうした取り組みには、透明性、協力の意思、慎重な運用管理が必要となりますが、今回取り上げたような情報を活用することで、攻撃者の調査・追跡・撹乱に関して、より多くのことが実行できますし、そうされるべきだと私たちは考えています。
初期段階の実践的な提案として、以下が考えられます。
- 研究者が、マネーロンダリングの新たな手法、合法・違法な投資、攻撃者グループに関する知見 (所在、動機、能力、他者との関係性など)、および金融識別情報に関する議論を、法執行機関や金融規制当局の連絡先に通報する
- 法執行官や金融捜査官は、自身の捜査で得られた識別情報や指標を研究者と共有することで、それらが特定の攻撃キャンペーンや特定のグループと関係しているかどうかを調べる
- これらの境界領域に焦点を当てたプログラムを組み込むことは両者にとって有益である可能性がある
キルチェーンへのステップの追加
これは理論的な提案に過ぎませんが、金銭的な動機を持つ攻撃者を扱う場合、キルチェーンの末尾に以下の 2 つのステップを加えることを検討しても良いかもしれません。
- 現金化とマネーロンダリング。金銭的な動機を持つ攻撃者は、利益を実現し、その資金の出所を隠したがっています。
- 支出と投資。このステップは、上述のステップと一部重複するかもしれませんが、攻撃者は、単に資金の出所を偽るだけでなく、不正に得た利益を支出/投資し、さらなる利益を生み出そうとしています。
これら 2 つのステップをキルチェーンに追加することは、以下の 4 つの理由から意味があると考えられます。
- 一部の攻撃者はこれらの領域に不慣れかつ十分な知識や能力を有していない可能性があり、ミスや漏洩を通じて帰属特定・調査の手がかりとなる情報を明かすことがある。
- 金融当局やより広範な金融エコシステム、および/または規制当局との接点が生じる可能性があり、監視や「危険信号」の機会が増加する。
- これらのステップは、金銭的動機を持つ攻撃者に最も打撃を与えうるポイントであるため、少なくともある程度の注意を払うことは合理的な選択である。
- 上述の通り、これらのステップは、金融機関や法執行機関との連携、情報共有、協力の可能性を提供するものである。
注意点と今後の調査・研究
本連載では、一部の犯罪者向けフォーラムに焦点を当てましたが、フォーラムから犯罪者のエコシステムのすべてがわかるわけではありません。しかし、私たちは、(ランサムウェアのアフィリエイト、初期アクセスブローカー、およびマルウェア開発者を含む) 多数の攻撃者が頻繁に利用することが知られているいくつかの著名なフォーラムを調査しました。これらのフォーラムはまだ研究が十分でない分野に関する貴重な洞察を提供します。
とはいえ、今回の調査はわずか 5 件のフォーラムに焦点を当てたものであり、包括的な調査というよりは、あくまで初期的な探索として捉えるべきです。
本記事で取り上げた犯罪行為やビジネスプラクティスを特定のインシデント、キャンペーン、攻撃者に結びつけるのは困難であり、本研究の範囲を超えています。しかし、いくつかの事例では、攻撃者が単に仮説や一般論を述べるにとどまらず、具体的な活動を認めており、ときには写真、地理的情報、経歴情報を含めて投稿していました (ただし、攻撃者が虚偽の申告や誇張をしている可能性もあります)。
今後の研究では、以下のような方向性が考えられます。
- 他のフォーラム、マーケットプレイス、Telegram チャンネルなどを対象とした詳細な調査を行い、本研究結果との比較・補完を通じて、新たな帰属特定、調査、監視、協力の機会を発見すること。
- 特定の攻撃・キャンペーンと、特定の投資活動やビジネス慣行との関連性を探ること。そのためには、関係機関との協力や情報共有、金融取引分析、暗号資産の追跡などが必要となる可能性があります。
- 各種の犯罪・ビジネスへの関心がどれほどの頻度で見られるのかに関する統計的調査。金銭的動機を持つ攻撃者の間で何が最も一般的なのか、地理的要因や攻撃者の種類 (情報窃取ツール攻撃やランサムウェア攻撃など) によって傾向が異なるかどうかを把握するのに役立ちます。
結論
これまでにも、暗号通貨を使ったマネーロンダリング、特にランサムウェア攻撃者による手法については一定の研究がなされてきましたが、いわゆる「合法的なビジネス」に関する議論を対象とした調査は、おそらく本連載が初めてです。この種のビジネスに関する議論は、20 年近く前から存在するロシア語圏の非常に有力かつ確立された 2 件のフォーラム、ならびに近年立ち上げられたその他のフォーラムにおいて観察されています。
これらのセクションは、これまで研究者からは見過ごされがちでした。おそらく、一見するとサイバーセキュリティとは直接関係しないように思われるからでしょう。しかし、それは重大な見落としです。こうした領域に注目・監視することで、戦略的・戦術的なインテリジェンスの両面で有益な洞察が得られることを、本研究は示しています。
金銭を目的とする攻撃者が攻撃で利益を得た後に関心を持ち、実際に関与している投資先、スキーム、ビジネスの関心は、合法・違法を問わず極めて多様です。サイバーセキュリティに関わる誰もが、金銭的動機によるサイバー犯罪を、より広範で複雑な経済圏の一部として捉える視座を持つべきです。そうした犯罪は決して単発的で独立した活動ではありません。
特に、以下の点を念頭に置きましょう。
- 攻撃者が犯行後、どこに資金を投じているか、何に使っているかを考察すること。攻撃の理解や調査に役立つ可能性があります。
- 同業者、法執行機関、金融規制機関等との間で情報を共有し、必要に応じて相互に情報提供を求めること。
- サイバー犯罪を、それ自体で完結する孤立した活動ではなく、他の犯罪ネットワークと結びついた広範なエコシステムの一部として捉えること。
- サイバーキルチェーンに追加のステップ (マネーロンダリングや投資先の追跡など) を設けることを検討し、議論に参加すること。
先述の通り、本研究は出発点に過ぎません。今後もこのテーマに関する調査を継続し、新たな知見を共有していきます。
