サイバー脅威
近代的なサイバー犯罪グループの組織構造を解明する
本稿では、サイバー犯罪グループを規模別で3つのカテゴリに分類し、それぞれについて、同等の規模を有する正規な企業と比較した結果について解説します。比較の観点として、主に組織的な構造に着目しました。さらに、脅威分析チームが調査を実施する際に、サイバー犯罪グループの規模や構造に関する情報がいかに役立つかについても解説します。
サイバー犯罪を取り巻く情勢は、ここ20年で大きく変化しました。不正なペイロードを用いた単純な攻撃から始まり、近代のサイバー犯罪においては、攻撃者が金銭的な利益を目的とするグループを編成し、組織的に活動するようになりました。
こうした流れによって新たなサイバー犯罪グループが次々と編成されると、それらは互いに競合関係となり、正規の企業や組織から搾取できそうな利益の取り分を巡って、激しく競い合うようになります。現状を踏まえると、サイバー犯罪グループの組織構造は、正規な企業のそれと顕著に類似しています。トレンドマイクロの分析によると、サイバー犯罪グループのメンバー数や収入が増加すると、組織的な階層が新たに追加される結果、全体的な組織構造も複雑化する傾向にあります。
弊社のリサーチペーパー「サイバー犯罪企業の内側」では、法執行機関やインサイダー情報からの報告事例をもとにサイバー犯罪グループを小規模、中規模、大規模の3カテゴリに分類し、それぞれを綿密に分析しました。また、より踏み込んだ知見を得るため、各カテゴリに属するサイバー犯罪グループについて、同等の規模を持つ従来型の正規な企業と比較しました。
本稿では、法執行機関や脅威分析チームがサイバー犯罪グループを調査する際に、その規模や構造に関する理解がいかに役立つかについて解説します。一連の知識は、サイバー攻撃への対処に役立つ新たな情報の発見に繋がると期待されます。
サイバー犯罪グループの規模を定義
サイバー犯罪グループは、その性質上、あまり人の目に触れないように、隠密な活動を行います。そのため、サイバー犯罪グループの規模を定義する際に、従来型の正規な企業を前提とする基準を当てはめても、全てが「小規模」なカテゴリーとして分類されてしまうでしょう。
そこで弊社では、今回の調査用に、従業員数、組織内の階層数、年あたりの収益に基づく規模の定義を考案し、これによってサイバー犯罪グループを分類しました。その情報源として、弊社がこれまでに公開してきたさまざまなサイバー犯罪グループに関する大規模な調査データを用いました。
現状ではサイバー犯罪グループの規模に関する厳格な定義が存在しない点を踏まえ、今回は表1に示すガイドを作成しました。脅威分析チームは本ガイドを用いることで、サイバー犯罪グループを規模別に分類し、その規模に応じた各種情報を参照できるようになります。一貫性を保つため、サイバー犯罪グループが所定の基準を十分に満たしている場合にのみ、該当の規模に分類されるものと見なします。
年収額が控え目な小規模のサイバー犯罪ビジネス:アンダーグラウンド市場の大半を占める
サイバー犯罪グループの大半は、年あたりの収益が50万米ドルに及ばない「小規模」なカテゴリに分類されます。当該グループは、チームリーダー、コーダー、サポート役、ネットワーク管理者といった少数のメンバーから構成されます。パートナーシップモデルの下で活動するメンバーはごく少数であり、各従業員が、宣伝や採用、資金管理といった役割を兼任します。また、当該グループでの活動とは別に、定職を抱え持っているメンバーも多く見られます。
小規模なサイバー犯罪グループの創立者は一名の場合もあれば複数名の場合もあり、独自な製品の開発と販売に向けたビジネスを展開します。資産運用は創立者自身で行い、マルウェアのコーディングやサーバ運用、それに付随する費用のために資金を投入します。
今回の調査では、小規模なサイバー犯罪グループの例として、2012年から2017年にかけてアンダーグラウンドで有名になった「Scan4You」に着目しました。Scan4Youは、マルウェアがアンチウイルスエンジンによって検知されるかどうかを確認できる「カウンターアンチウイルス(Counter AVまたはCAV)」の代表例であり、停止されるまでの5年の間、サイバー犯罪者の間で広く利用されていました。
中規模のサイバー犯罪グループ:従来型の正規な中規模ビジネスと構造的に類似
先述の小規模なサイバー犯罪グループがフラットなメンバー構成で運用されるのに対し、中規模のグループにはやや複雑な構造が備わっています。組織的な階層も複数存在し、同等の規模を持つ正規な企業に見られる管理者層などが追加されています。中規模なサイバー犯罪グループのメンバー数は6名から49名までであり、基本的な機能単位のチームに分かれて指揮系統が敷かれています。組織のトップに位置するのは1名のみであり、全体的な指揮を取ります。年あたりの収益額は最大で5千万米ドルに及び、メンバーをフルタイムで雇うだけの資金を有しています。
中規模なサイバー犯罪グループの構造を調査するにあたり、今回は「MaxiDed」に着目しました。本グループは当初、不正な活動への関与を表に出すことなく、小さなホスティングプロバイダとして活動を開始しました。しかし、2021年にはビジネスモデルを切り替え、アンダーグラウンド向け「防弾ホスティングプロバイダ」としてのサービスを展開するようになりました。サービスの内容として、DDoS(Distributed Denial of Service:分散型サービス拒否攻撃)用ボットネットに使用されるコマンドコントロール(C&C:Command and Control)サーバの設置、サイバー諜報活動、マルバタイジング(不正な広告)、スパム配信、未成年虐待コンテンツの掲載などが挙げられます。
大規模なサイバー犯罪グループ:正規な大企業と同様の部門構成や組織階層を備える
大規模なサイバー犯罪グループには、人事部門やIT部門を始めとする機能別の部門が存在します。これは、正規な大企業との類似性を示す一大的な特徴と言えるでしょう。従業員が50名を超えることから推測できるように、指揮系統は高度に階層化されています。その中には中間管理層や上級管理層も含まれ、全体としてピラミッド型の構造が築かれています。
今回の調査結果で特に目を引く点は、マネージメント層が従業員に対して密接な指導を行っていることです。財政的な目標を達成する取り組みの1つとして、各従業員の意欲を高める特別プログラムを実施している場合もあります。大規模なサイバー犯罪グループが年あたりに稼ぐ収益は、5,000万米ドルを超えます。この額は、正規な大企業にも匹敵します。
大規模なサイバー犯罪グループによる活動の詳細を解明するため、今回は、ランサムウェアグループ「Conti」に焦点を当てて調査を行いました。ContiはRaaS(Ransomware-as-a-Service:サービスとしてのランサムウェア)を展開するグループとして有名であり、ランサムウェア「Ryuk」の後継組織として広く認知されています。本グループは特に巧妙な二重恐喝を行使することで悪名高く、被害組織が身代金の支払いを拒否した場合には、窃取したデータを公開するだけでなく、当該組織に不正アクセスする手段を他者に売り渡すことも報告されています。
サイバー犯罪グループの規模を知ることで調査上の新たな手がかりを発見
システムへの不正侵入があった場合、脅威解析チームでは、実行犯であるサイバー犯罪グループのおおよその規模を知ることで、新たな重要情報を得られる可能性があります。例えば、財政的能力を示す資料、組織図、従業員リスト、所属メンバーの暗号資産ウォレット、各部門で使用される文書などが挙げられます。こうした重要情報は、サイバー犯罪グループに打撃を加えようとする法執行機関や調査チームにとって有益なものとなるでしょう。
- サイバー犯罪調査チーム:サイバー犯罪グループの管理体制を知ることで、調査対象メンバーの役割や人数に関する目安が得られる。同時に、メンバーの中で特に警戒すべき重要人物が誰であるのかを推定する手がかりも得られる。
- 法執行機関:サイバー犯罪の活動に最も効果的な打撃を与えるという目的において、各サイバー犯罪グループの規模を把握することで、優先的に狙うべきグループの目星が付けられる。
脅威分析チームにとって、サイバー犯罪グループの規模に関する情報は確かに有用なものですが、それだけで当該グループに関するあらゆる情報が露呈するわけではありません。しかし上述の通り、規模に関する理解を元手として、重要情報を発見できる可能性があります。サイバー犯罪の活動に打撃を与えるという目的において、重要情報の発見は、単純なサーバ停止を超えた効果を秘めています。このことは、Contiのチャット履歴がリークした際の影響の大きさからも強く示唆されるでしょう。さまざまなサイバー犯罪グループの規模や構造に関するより詳細な情報については、弊社のリサーチペーパー「サイバー犯罪企業の内側」をご参照ください。
参考記事:
Unpacking the Structure of Modern Cybercrime Organizations
By: David Sancho, Mayra Rosario Fuentes
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)