サイバー犯罪「流れ作業」を破壊 国際作戦で2つの主要ツール同時撃破
原題: One-two punch delivered in global operation disrupts cybercrime "assembly line"
なぜ重要か
独立した複数のサイバー犯罪ツールの共通インフラを特定し、同時破壊することで、犯罪供給鎖全体に対する実効的な打撃が実現。国際的な公民連携の新モデルが確立される。
国際当局と複数のテック企業が「Operation Endgame」と銘打った作戦で、サイバー犯罪に使われる2つのツールを同時に破壊した。マルウェア配布基盤「Amadey」と情報窃取ツール「StealC」の両者は、2018年から流布し、合計2700万件のログイン認証情報を回収、4700万ドル以上の不正資金を押収した。
米Microsoftおよび欧州警察(Europol)を中心とした国際的な当局とセキュリティ企業の連携により、「Operation Endgame」と呼ばれる大規模なサイバー犯罪撃破作戦が実行された。
標的となったのはAmadeyとStealCという2つの独立したサイバー犯罪ツールである。Amadeyはマルウェア・アズ・ア・サービス(MaaS)プラットフォームで、2018年から流布し、デバイスを侵害してランサムウェアや詐欺に使用される悪質なペイロードを配信してきた。昨年はGitHubを悪用して感染デバイスから情報を収集していた。
StealCは情報窃取ツール(infostealer)で、ログイン認証情報、認証用クッキー、暗号資産ウォレット、ブラウザ拡張機能、特定のパターンにマッチするファイルを盗む。
この両ツールは独立して運営されていたが、多くの犯罪者が両方を併用していた。Microsoftの分析によれば、両ツールは共通のインフラストラクチャを共有していることが判明。これによりMicrosoftの弁護団は、RICO法(組織犯罪対策法)を用いて両ツールを単一の陰謀の一部として同時に破壊する法的命令を獲得できた。
作戦の成果は以下の通り。200以上のコマンド&コントロールサーバーを破壊し、18,000台以上の感染コンピュータの犯罪者による支配を遮断。Europ Olによれば、326台のサーバーと142個のドメインが当局および民間企業により対応され、2700万件のログイン認証情報を回収、4700万ドル相当の「犯罪由来の暗号資産」を押収した。
ESET、Proofpoint、IBM X-Force、Bitsight、三井物産セキュアディレクションズなど複数の民間セキュリティ企業が作戦に参画した。Europ Olは、この同時破壊により、サイバー犯罪者の攻撃成功率を低下させ、被害拡大や復旧を困難にしたと述べている。