サイバー犯罪組織が使っていたシンプルな方法
ドゲット氏によると、カルバナック・サイバーガンは銀行の内部ネットワークにアクセスするために、昔ながらのフィッシング・メールというシンプルな方法を用いていたそうです。フィッシングは、1990年代にさかのぼる最も古いサイバー攻撃の1つで、現在でも最も広く蔓延しているサイバーセキュリティの脅威の1つでもあります。米国だけでもフィッシング詐欺によって年間5,700万ドル(約83億円)の被害が出ています。
フィッシング攻撃とは、電子メールを武器に受信者を騙し、ウイルスやマルウェアを含む添付ファイルをダウンロードさせるサイバー攻撃のことです。カルバナック・サイバーガンが行っていたのは、スピアフィッシングと呼ばれる高度なフィッシングで、銀行内の同僚から送られてきたように見える偽メールを作成し、受信者に誤った安心感を与えるものです。
そして、いったん受信者がリンクをクリックすると、悪意のある「Carbanak」というソフトウェアが銀行のネットワークに放たれます。このソフトウェアは独立して動作し、銀行の内部ネットワークを通じて次々とコンピュータに感染し、真のターゲットである銀行の内部会計システムや現金輸送システムを担当する従業員のコンピュータを探し出します。つまり、感染するとCarbanakを封じ込めることはほぼ不可能だということです。
ここでハッカーたちの忍耐力が発揮されます。ハッカーたちは、標的のコンピュータにアクセスすると、1ドルたりとも盗むことなく、数週間から数カ月かけて従業員を監視し業務に関する情報を収集します。そして、「Carbanak」によって、ハッカーは銀行のセキュリティカメラやコンピュータのウェブカメラにアクセスし、従業員のキーストロークを記録してパスワードを盗むことさえできたのです。
この豊富な情報により、ハッカーは銀行の従業員が内部取引を行う様子を間近で観察し、遠隔地からそれを完全に模倣することが可能になったのです。そして、数ヶ月間、銀行の業務を監視し、無数の画像やビデオを確認した後、ハッカーはシステムに侵入し、自分たちの取引を完了させたのです。
銀行がすぐに資金の紛失に気づくことは間違いないですが、ハッカーは内部手続きを正確に再現することで、盗難を会計ミスや内部の犯行に見せかけました。銀行が攻撃に気づいたときには、ハッカーは次のターゲットに移っていたことでしょう。
そして、盗まれた資金は、不正なATMで引き出され、他国の不正口座に送金され、暗号通貨やプリペイドカードを使って洗浄されます。そうなったら、ハッカーにたどり着くのはほぼ不可能です。ハッカーはその後、洗浄された資金で車や家などの高級品を購入し、さらに偽装を重ね、資金を追跡することを難しくします。
欧州刑事警察機構によると、カルバナック・サイバーガンは、サーバー攻撃を開始して以来、10億ユーロ(約1,400億円)以上の盗難に関与しています。資金の大半は金融機関から奪われていましたが、2017年、ハッカーたちは戦術を変え、POSシステムを感染させレストランや小売組織から数百万ドルを盗み出しました。この戦略の変更は、カルバナック・サイバーガンの終わりの始まりを告げているのかもしれません。
2018年3月、欧州刑事警察機構は、カルバナック・サイバーガンの黒幕とされる人物の1人を逮捕したと発表しました。デニス・Kと名乗るこの男は、スペインで逮捕されたウクライナ人です。この事件はまだ捜査中ですが、欧州刑事警察機構はこの注目すべき逮捕劇を、国際的な法執行機関の強力な連携と協力のおかげだとしています。
しかし、リーダーの一人が逮捕されても、カルバナック・サイバーガンの勢いは衰えないようです。彼らは金融機関やその他の企業を襲撃し続け、世界中の銀行や企業から毎年数千万ドルを盗んでいます。彼らの手口は進化を続け、より洗練されたものになっています。
さらに彼らは、同様の戦略やソフトウェアを使用して大胆なサイバー攻撃を行う模倣犯を次々と生み出しています。デニス・Kの逮捕は、法律家にとって大きな勝利だったかもしれません。しかし、サイバー犯罪との戦いはまだ終わっていないのです。
