ロシア語を話すサイバー犯罪グループ、その構成メンバーの職種と役割　ほか

　今回はロシアのセキュリティ企業Kasperskyが公開した2つの調査報告書を紹介します。

ロシア語を話すサイバー犯罪グループ、その構成メンバーの職種と役割

　11月19日、金銭を目的としたロシアのサイバー犯罪グループに関する調査報告書が公開されました。ここで言う「ロシアの」とは厳密には「ロシア語を話す」という意味であり、調査対象の犯罪グループのメンバーには、ロシア国民だけでなく、旧ソ連の、主にウクライナやバルト三国（エストニア、ラトビア、リトアニア）の国民も含まれています。

　まず、2012年から2015年の間に法執行機関に逮捕された「ロシア語を話す」サイバー犯罪者は160名を超えており、被害額は全世界で7億9000万米ドル、そのうち5億900万米ドルが旧ソ連以外の地域から盗まれたそうです。ただし、あくまでこの数字は公式に確認されたものだけであり、実際の被害はもっと大きいと考えられます。

　ロシア語を話すサイバー犯罪者による金銭目的の犯罪が拡大傾向にあるのには多くの理由がありますが、Kasperskyは以下の3点を主要な原因として挙げています。

• 法執行機関にふさわしい能力のある職員が十分にいない
• 法律が適切でなく、多くの場合、責任逃れを許してしまい、刑罰が軽い
• 国をまたがった法執行機関や専門機関の間の国際連携について確立された手順がない

　つまり、サイバー犯罪を行って逮捕され、刑罰を与えられるリスクよりも、犯罪によって得られる金銭的メリットの方がはるかに大きいという現実があるわけです。

　サイバー犯罪者が増え、犯罪グループが組織化される一方、本報告書では、積極的に活動している犯罪グループの中核を担っている人物は全体でも20名程度に過ぎないとしています。また、犯罪グループのうち、主要な5つのグループについて調査した結果によれば、個々のグループはそれぞれ10名から40名程度のメンバーで構成されており、規模が大きくなればなるほど、普通のIT企業のような組織体制で運営されているそうです。

　このような中、サイバー犯罪の「労働市場」も生まれており、主要な職種としてはIT企業とほぼ同じで以下のようなものとなっています。

• プログラマー／エンコーダー／ウイルスライター
  マルウェア等ソフトウェアの新規作成及び既存のマルウェアの修正
• ウェブデザイナー
  フィッシングページや電子メールなどの作成
• システムアドミニストレーター
  ITインフラの構築とサポート
• テスター
  マルウェア等ソフトウェアのテスト
• クリプター
  犯罪に用いるコードをアンチウイルスによる検知を回避するようにパッキング

　ちなみに、過去3年間で最大1000名が新規に「採用」されているそうです。

　Kasperskyが調査した比較的規模の大きな犯罪グループの体制を示したのが以下の図です。

（「Securelist」2015年11月19日付記事より）

　また、今回の報告書では、この体制図にないものも含め、典型的な構成メンバーを挙げ、個々に役割や組織内での位置付けなどを詳細に解説しています。以下に簡単に紹介します。なお、実際には1人のメンバーが複数の役割を兼務することもあります。

• ウイルスライター／プログラマー
  マルウェアの作成など
• テスター
  さまざまな環境でのマルウェアの動作確認など
• ウェブデザイナーとウェブプログラマー
  フィッシングサイトの作成など
• ディストリビューター
  マルウェアのばら撒き
• ハッカー
  高度なスキルを有し、特定のコンピューターやサイトに侵入する場合に活動
• システムアドミニストレーター
  犯罪に用いるITインフラの構築と運用
• コールサービス
  電話などでソーシャルエンジニアリング手法を駆使して「本物らしさ」を強化
• マネーフローマネージャー
  窃取した金銭の流れを統括
• ミュールのリーダー
  ミュール（運び屋、出し子）を統括
• ミュール
  運び屋、出し子
  盗んだ金銭の転送・引き出し
  無自覚に加担させられている者もあり
• スタッファー
  盗んだアカウントで購入したものを転売
• オーガナイザー
  全体の統括

　このような組織化された犯罪グループによる犯行は以下の4つのステップで構成されています。

1. 探査（下調べ）
2. 感染（侵入）
3. 探査と実行（管理者権限の取得）
4. 金銭の窃取（あらかじめ用意した口座への転送、ATMからの引き出し）

　物理的に離れた場所にいる者たちによる分業によって、犯罪グループの全体像はますます見えにくくなって来ています。今回の報告書は、あくまで「ロシア語を話す」犯罪グループを調べたものですが、同様の体制をとっている犯罪グループは他にも少なくないと考えるべきでしょう。

2015年第3四半期のスパムおよびフィッシングの状況

　11月12日、2015年第3四半期のスパムおよびフィッシングの状況に関する調査報告書が公開されました。

　第3四半期はホリデーシーズンと重なっていることから、旅行に関連した飛行機やホテルの予約サービスをかたったスパムが多く確認され、例えば、添付された偽の請求書を開かせることでマルウェアに感染させるといった手法がありました。

　また、フィッシングメールは一般的にメール本文に「釣る」ためのメッセージと誘導先の偽サイトのURLが記載されているものですが、第3四半期に確認されたものの中には、スパムフィルターを回避するために、添付されたPDFファイルの中に記載し、そこから偽サイトに誘導するものもあり、その大多数は銀行をかたったものだったそうです。

　今年の4月から9月までの電子メールのトラフィックに占めるスパムの割合を示したのが以下の図です。8月が多いことが分かりますが、これは図の見せ方に問題があり、実際の数字を見れば分かるようにほぼ誤差の範囲と言っても良いのではないかと思います。

（「Securelist」2015年11月12日付記事より）

　次にスパムの配信元を国や地域別にまとめたのが次の図です。米国が引き続きトップ、2番目のベトナムは前四半期の3.38％から大きく増えています。

（「Securelist」2015年11月12日付記事より）

　スパムメールのサイズをまとめたのが次の図です。ほとんどのスパムメールのサイズは小さいことが分かりますし、その傾向は前四半期よりも強まっています。

（「Securelist」2015年11月12日付記事より）

　メールによる攻撃先を国や地域別にまとめたのが次の図です。これはアンチウイルスによる検知結果に基づいているようです。

（「Securelist」2015年11月12日付記事より）

　アンチフィッシングシステムによる検知は3630万537件で、前四半期より約600万件の増加となっています。このうち、1576万4588件はヒューリスティックによる検知でブロックされ、残り2053万5949件はシグネチャーによる検知でブロックされています。Kasperskyのユーザーに占める、アンチフィッシングシステムによるブロックが行われたコンピューターのユーザーの割合を、国や地域別に色分けしてまとめたのが以下の図です。

（「Securelist」2015年11月12日付記事より）

　具体的な数値は以下の通り。

　中でも日本と中国の割合が増しており、前四半期よりもそれぞれ10.9ポイント、7.85ポイントの増加となっています。

　また、フィッシングによってかたられた組織をまとめたのが以下の図です。トップの「Global Internet portals」は前四半期より11.42ポイント減の30.93％、一方、2位の「Social networking sites」は6.69ポイント増の21.44％、3位の銀行は4.65ポイント増の18.07％となっています。また「Cloud data storage」は1.06％とまだ少ないですが、0.26ポイントの増加となっており、今後も増えていく可能性が示唆されています。

（「Securelist」2015年11月12日付記事より）

　日本も大いに狙われているという結果を示しながら、日本を狙った具体的な手法（日本語を使ったもの）については特に紹介されていないので、日本人にとっては少々もの足りなさを感じる報告書かもしれません。それでも過去の例を見れば明らかなように、海外で使われた手法は後に日本でも使われる可能性が極めて高いということを考えれば、今後の対策、特に個人向けの啓発としては非常に有益な情報だと言えるでしょう。