2013 ????????????????????Cyclosa ????????
昨年、セキュリティニュースのレポーター、ブライアン・クレブス(Brian Krebs)氏は、ある攻撃者グループが複数の企業に侵入して重要な顧客情報を盗み出し、オンラインの個人情報売買サイト SSNDOB で販売していることを発見しました。この攻撃者グループが侵入したのは、一般消費者や企業のデータの大手アグリゲータやソフトウェア開発企業など何社ものネットワークです。クレブス氏が明らかにしたところによると、このグループは盗み出したデータを SSNDOB に公開し、米国と英国の一般ユーザーに関する個人情報を販売していました。
シマンテックは、このグループが SSNDOB の背後で行っていた攻撃を調査し、このグループを「Cyclosa(ゴミグモ)」と命名しました。調査を進めるうちに、オンラインフォーラムでこのグループの中心的メンバーと目されている人物として、アブハジア在住の Armand Arturovich Ayakimyan という 24 歳の青年を特定しました。この事案をさらに調べると、この青年は大掛かりな個人情報窃盗の実行方法について情報を探っていたことをきっかけに、サイバー犯罪フォーラムに出入りするようになったことが判明しました。それだけでなく、Cyclosa グループが多数の企業や組織に侵入しており、なかにはグルジアの政府機関や信用組合、銀行なども含まれていることも突き止めています。
Armand の正体
Armand は 1989 年 8 月 27 日アブハジアで生まれました。ロシアとグルジアの国境付近、コーカサス地方の紛争地域です。アブハジアと周辺の諸地域は 1991 年から 1993 年にかけて紛争状態に突入します。そのひとつ、1992 年から翌 93 年のアブハジア戦争では、アブハジアとグルジアが同地域の独立をめぐって衝突しました。シマンテックの調査によると、Armand は 2010 年初めにアブハジアの首都スフミから、ほど近いロシアの町ソチに転居しています。これは SSNDOB 開設の直前のことです。
ソーシャルメディアでの自身のプロフィール(現在は削除されています)によると、Armand は Web 開発と IT に高いスキルを持っているとしています。また、オンラインロールプレイングゲーム『イブオンライン(EVE Online)』のファンでもあるようです。
成人後の Armand は、写真スタジオ勤務や化粧品会社の営業マネージャーなど職を転々とします。その一方、自分の技術スキルを正規の仕事に活かすことも考え、オンラインの出会い系サイトや、アブハジアの物件を扱う不動産業の Web サイトなども計画しましたが、どちらも実現までには至りませんでした。2013 年の時点で、Armand はロシアの教会で働いていたようです。
Armand の初期のサイバー犯罪歴
2007 年以前に、Armand はすでに詐欺行為に関与していたらしく、これはオーストラリアのユーザーの銀行口座情報を狙ったものでした。このとき Armand はサイバー犯罪を手掛ける技術を持っていたようですが、さらに大掛かりな金融詐欺を仕掛けるには、まだスキルが不足していました。
2007 年、Armand はサイバー犯罪フォーラムのアカウントを取得し、セキュリティで保護されていない Wi-Fi 接続を通じて個人情報を盗み出す方法を他のユーザーに尋ねています。フォーラムでは、Armand の未熟さをほのめかしつつ、その手の情報ならインターネット上を検索してもっと勉強すべきだという回答がありました。
その年の終わり頃、Armand はこのフォーラム上で「新鮮な情報」を謳い文句に、盗み出した個人情報を 2.5 米ドルで売り始めます。その間も、チャットアカウントを乗っ取る方法など、さまざまな攻撃手法についてアドバイスを求める投稿を続けていました。
2008 年になると、リモートアクセス型のトロイの木馬を使って、侵入したコンピュータから情報の収集を始めます。当時流行していたトロイの木馬 Pinch とその協力者に暗号化サービスを依頼し、マルウェアを秘匿して他のプログラムに紛れ込ませようとしました。Armand が、さらに儲けをあげるべく米国と英国のユーザーを標的にし始めたのも、同じ年のことです。
共犯者
2009 年の初頭、Armand はサイバー犯罪フォーラムでそれぞれ「Tojava」、「JoTalbot」、「DarkMessiah」と名乗る 3 人の人物と共犯関係にあるという証拠が見つかりました。この組織にはほかにも関与していた人物がいるかもしれませんが、このグループの中心は明らかにこの 4 人です。4 人はマルウェアベースの検索エンジン最適化、ペイパークリック攻撃など、膨大なサイバー犯罪行為を実行したほか、乗っ取ったチャットアカウント、ボットネットトラフィック、個人情報や銀行口座情報なども売買していました。Armand と Tojava の関係が、SSNDOB の成立に大きく関わっています。Tojava は、Armand をサイバー犯罪とカード詐欺の世界に引きずり込んだ張本人と目されています。検索エンジンや社会保障番号のクエリースクリプトなど、SSNDOB の技術機能の多くは Tojava が作ったものとシマンテックは考えています。
この前後に、Armand は「大規模な FTP サイト」へのアクセス方法を「発見」し、何社かの旅行代理店の Web サイトに出入りできるようになったと述べています。そうしたアクセス権を最大限に活用する方法についても、Armand はフォーラムでアドバイスを求めていました。2 カ月後、Armand は 75,000 件から 85,000 件ものロシアの期限切れパスポートのデータベースを、FTP サイトまたはアカウントと、侵入したサーバーへの「アクセス権」とともに販売するという広告を掲載しています。Cyclosa グループが大々的に企業に侵入した最初のきっかけが、このデータベースだったようです。
SSNDOB の誕生
旅行代理店に侵入した直後、Armand と Tojava はオンラインの個人情報売買サイトを開設する意図を示し、カード決済をチェックして処理するツールも検討し始めました。それと同時に、2 人は Cyclosa グループの攻撃機能についても強化を続け、警察でさえ検知できないほど徹底的にハードディスクの内容をワイプ(消去)するマルウェアを開発したり、米国と英国で大量のボットネットトラフィックを取得したりといった活動に取り組んでいます。
この年の終わり頃、Armand は SSNDOB の最初のドメインを取得しますが、その登録に本名(フルネーム)と実際の電話番号を使っていたのは、不思議としか言いようがありません。2010 年に入って、SSNDOB は正式に業務を開始します。0.5 ~ 2.5 米ドルで個人情報を販売したほか、クレジットカード情報や身元調査情報も 5 ~ 15 米ドルで提供していました。
データ侵害
SSNDOB の在庫を維持するために、Cyclosa グループは企業を攻撃して個人情報のデータベースを盗み出し続ける必要がありました。クレブス氏のレポートに記載されている大々的なデータ侵害のほかにも、シマンテックは Cyclosa グループが多くの企業に侵入したことを確認しています。2012 年 5 月には、Cyclosa グループは米国に拠点を置く信用組合に侵入し、その数カ月後には、米国カリフォルニア州の銀行と、グルジアの政府機関にも侵入しています。グルジアの政府機関に米国や英国のユーザーに関する情報がそれほど多く記録されているとは思えませんが、Armand の経歴からすると、この攻撃には Cyclosa グループの個人的な意図があったとも考えられます。
正体を現した SSNDOB
2013 年 3 月、SSNDOB はついに失策を犯しました。それを最初に伝えたのが、情報売買サイトに関するクレブス氏の調査報告です。クレブス氏がこれを報じた 3 日後、Armand はヨーロッパのソーシャルネットワークサイト VK からプロフィールを削除しています。
にもかかわらず、Cyclosa グループがその活動を停止することはありませんでした。SSNDOB のために新しいドメイン名を取得し続け、英国に拠点を持つナイジェリアの金融機関の従業員のコンピュータにも侵入しています。2013 年を通じて、Cyclosa グループは主要なデータブローカーやソフトウェア開発企業からデータを盗み出し続けました。2013 年にも活動がエスカレートし続けたことを考えると、Cyclosa グループの息の根が止まったとは言えないのかもしれません。
単独犯の時代から、組織化されたサイバー犯罪グループに至るまで、Armand が辿ってきた経歴を以下の図にまとめました。
シマンテックの保護対策
シマンテックは、今回お伝えした攻撃から保護するために、以下の保護対策を提供しています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
![cyclosa_infographic_past_to_present_v2[2].png](https://www.symantec.com/connect/sites/default/files/users/user-17448/cyclosa_infographic_past_to_present_v2%5B2%5D.png)