サイバー犯罪を生むゲートウェイ サービスの阻止

高度に専門化された CaaS (Cybercrime-as-a-Service: サービスとしてのサイバー犯罪) エコシステムの中で、Storm-1152 は重要な役割を担っています。サイバー犯罪活動は大部分が自動化されており、犯罪者は、その実行をサポートするための不正なアカウントを必要としています。不正アカウントは企業によって迅速に発見、閉鎖されるため、犯罪者が企業の緩和行動を回避するには非常に多くのアカウントが必要です。しかし、Storm-1152 やその他のグループから膨大な数のアカウントを単純に購入すれば、時間をかけて不正アカウントの作成を試みる必要がありません。そのサービスを利用すると、犯罪者は、本来の目的であるフィッシング、スパム、ランサムウェアなどさまざまな詐欺や不正を遂行することに専念できます。Storm-1152 や同様のグループは、多数のサイバー犯罪者に対し、悪意ある活動の効率的かつ効果的な実行をサポートする手段を提供しているのです。

Microsoft 脅威インテリジェンスは、Storm-1152 から入手したアカウントを使ってランサムウェア、データ盗難、恐喝を行っているグループをこれまでに複数特定しました。Storm-1152 から不正な Microsoft アカウントを入手したグループの一例として、Octo Tempest (別名 Scattered Spider) があります。Octo Tempest は金銭的な利益を追求するサイバー犯罪グループであり、恐喝によって金銭を得るために、広範なソーシャル エンジニアリング キャンペーンを展開して世界中の組織を侵害しています。Microsoft では、その他複数の脅威アクター (Storm-0252、Storm-0455 など) についても、Storm-1152 から購入した不正アカウントを購入してランサムウェアや恐喝による攻撃方法の強化に利用したことを突き止め、追跡を継続しています。

Microsoft は 12 月 7 日 (木)、米国ニューヨーク州南部連邦地裁からの裁判所命令により、Microsoft の顧客に損害を与えるために Storm-1152 の使用した米国内インフラストラクチャとオフライン Web サイトを差し押さえることが認められました。この裁判は不正な Microsoft アカウントに主眼を置くものでしたが、当該 Web サイトでは、その他の広く知られたテクノロジ プラットフォームのセキュリティを迂回するサービスも販売されていました。したがって、本日の措置はより広範な影響を生じ、Microsoft 以外のユーザーにも利益をもたらすものです。具体的には、Microsoft デジタル犯罪対策部門は以下のものを破壊しました。

Microsoft は、地球上のあらゆる人と組織に安全なデジタル エクスペリエンスを提供するための取り組みに力を注いでおり、Arkose Labs と緊密に連携して次世代の CAPTCHA 防御ソリューションを展開しています。このソリューションは、Microsoft アカウントの開設を希望するすべてのユーザーに、実在の人間であること (ボットではないこと) の表明を求め、その表明の信ぴょう性を示すためにさまざまな種類のチャレンジを解決することを要求します。

Arkose Labs の創業者であり CEO の Kevin Gosschalk 氏は、次のように述べています。「Storm-1152 は、複雑な攻撃を仕掛ける手段を犯罪者に提供して金銭的利益を得ることだけを目的として結成された、あなどりがたい敵です。このグループには、ダーク Web 上ではない "おもての世界" で堂々と CaaS ビジネスを確立したという際立った特徴があります。Storm-1152 はインターネット上の一般的なビジネスの形を取って活動し、ツールのトレーニングや、本格的なカスタマー サポートさえも提供していました。にもかかわらず、実は、深刻な詐欺行為へと容易に参入できる入り口になっていたのです」

Storm-1152 の活動は、不正なアカウントの販売で Microsoft の利用規約に違反していただけでなく、Arkose Labs の顧客に意図的に危害を加え、かつ、セキュリティ対策を迂回する試みの中で正当なユーザーを装い、被害者を欺こうとするものでした。

私たちが Storm-1152 の活動について実施した分析作業には、米国内にホストされた悪意あるインフラを特定するための、検知、分析、テレメトリ、おとりによるテスト購入、リバース エンジニアリングが含まれます。Microsoft 脅威インテリジェンスと Arkose Cyber Threat Intelligence Research 部門 (ACTIR) は、この訴訟を補強するための追加データおよび分析情報を提供しました。

調査の中で、私たちは Storm-1152 のオペレーションを指揮したアクターの身元を特定することができました。いずれもベトナムを活動拠点とする個人の、Duong Dinh Tu 氏、Linh Van Nguyễn (別名 Nguyễn Van Linh) 氏、Tai Van Nguyen 氏の 3 名です。私たちの調査によると、これらの個人は、当該の不正 Web サイトの運用とコード作成、ビデオ チュートリアルで製品の使用方法を示す詳細な操作説明の公開、および、不正サービスのユーザーを支援するチャット サービスの提供を行っていました。

これを受け、Microsoft は米国の法執行機関への犯罪通報を行いました。当社のお客様に危害を加えようとする者を法の裁きにかけることに関して、法執行機関の協力に感謝します。
 

Microsoft の戦略には、より広範なサイバー犯罪者エコシステムに狙いを定め、サイバー犯罪者の攻撃開始時に使用されるツールを標的にした取り組みの方針が示されており、本日の措置もその延長線上にあるものです。マルウェアや国家支援型サイバー攻撃について、私たちが法的手段による効果的な阻止の実績を拡大してきたことが、この措置の土台になっています。また、私たちは業界内のさまざまな他組織と協力して、不正行為に関する情報収集体制の連携強化と、不正アカウントを迅速に検出してマーキングする AI および機械学習アルゴリズムのさらなる強化を進めています。

既に述べたとおり、どのような不正阻止の取り組みも一朝一夕では実現しません。サイバー犯罪を追う活動においては、粘り強く持続的な警戒を絶やさず、悪意あるインフラストラクチャが新たに出現するたびにそれを破壊していく必要があります。本日の法的措置が Storm-1152 のオペレーションに影響を及ぼすことは確実でしょうが、これに対応して他の脅威アクターも手口を修正してくると考えられます。サイバー犯罪に実効性のある打撃を与えるには、本日の件における Arkose Labs および米国法執行機関との協力と同様に、今後も官民の協力関係を続けていくことが必要不可欠です。