脅威の根本解決に向けたトレンドマイクロの取り組み:法執行機関との協力事例
トレンドマイクロは、インターネットバンキングの不正送金事案に関し、被害の拡大防止に役立つ効果的な情報を提供したことに対して、警視庁から感謝状を受け取りました。
金銭の窃取がサイバー犯罪の主要な動機であることはもはや強調するまでもないでしょう。このとき、攻撃者が狙っているのは金銭につながる「情報」です。具体的には、インターネットバンキングの利用に必要な ID ・パスワード等の口座情報を窃取します。そして窃取した情報を利用してその銀行口座から不正に送金することで金銭を盗み取るのです。日本においては、ネットバンキングに係る不正送金事案の被害額が、2013年に 14億円、2014年に入っても 1月から 2月までで既に 6億円と過去最大の多額の被害が発生していることが警察庁から発表されています。このような被害を防ぐにはどのような対策を打つ必要があるのでしょうか?
トレンドマイクロでは、アンダーグラウンドリサーチやマルウェア解析等の結果判明した C&Cサーバや、窃取情報が集積されるサーバなどの不正サーバの情報を利用して、実害発生を直前で防ぎ、さらには攻撃者の特定に活かす方策の検討を進めています。例えば、最近日本で大きな問題になっているオンライン銀行詐欺ツール「Citadel」(検出名:TSPY_ZBOT)では、攻撃者は「WebInject」と呼ばれる手法によって情報窃取のための偽画面を表示させることで情報の窃取を行う仕組みのため、この WebInjectモジュールの内容を解析することで窃取情報の送信先を知ることが可能です。この窃取情報送信先サーバには偽画面に誤って情報を入力してしまった被害者からの情報が保存されることになるので、このサーバに集められる情報を監視することで被害者の存在をいち早く認知し、攻撃者が不正送金を実行する前に銀行側で口座の利用停止をするなど、実害を防ぐ措置を行うことが可能になります。
このような措置はトレンドマイクロのようなセキュリティベンダーのみで行えるものではありません。法執行機関である警察や、銀行など関係機関との連携が不可欠です。トレンドマイクロでは、セキュリティ向上活動の連携窓口である TM-SIRT が、トレンドマイクロ内の「FTR(Forward-looking Threat Research)」などの調査研究機関が得た情報を基に、関係各機関にいち早く情報提供することで被害防止に貢献しようとする取り組みを行っています。被害防止には攻撃に利用されている不正サーバの停止措置(テイクダウン)が一般に知られています。しかしテイクダウンは一時的には被害を抑えることができるものの、攻撃者に攻撃を諦めさせるほど攻撃コストを高めることは難しく、逆に巧妙さを増した新たな攻撃を誘発する結果になる危険性があります。一方、不正サーバの監視は、攻撃状況を把握しながら快方に向け状況をコントロールし、さらには不正サーバ上に集積された情報を取りに来る攻撃者の足取りを追い、攻撃者特定と検挙にまで結び付けることで同一攻撃者による攻撃発生の防止とそれによる他の攻撃者による攻撃発生の抑止効果まで望める可能性のある方策です。
2014年4月28日、 トレンドマイクロは警視庁から感謝状を受け取りました。この感謝状は、インターネットバンキングの不正送金事案に関し、被害の拡大防止に役立つ効果的な情報を提供したことが評価されたものです。トレンドマイクロは今後も企業ビジョンであるデジタル情報を安全に交換できる世界の実現に向け、より包括的で根本的な対策を検討し、法執行機関との協力を世界中で推進していきます。