金銭奪取目的のロシアのハッキンググループ「FIN7」は、ランサムウェアの活動を拡大すべく、IT専門家を誘い出すための偽の会社を設立していることがセキュリティ研究者によって明らかになった。
Recorded Future(レコーディッド・ヒューチャー)のGemini Advisory部門の研究者によると、FIN7はPOS(販売時点情報管理)レジをハッキングして数百万枚のクレジットカードから10億ドル(約1136億円)超を盗んだことで知られているが、現在は公共部門に特化したサイバーセキュリティ・サービスを提供するとうたっているBastion Secureを装って活動している。
Bastion Secureのウェブサイトは、本物のように見える。しかし調査の結果、FIN7は既存の合法的なサイバーセキュリティ企業が公開している本物の情報(電話番号、オフィス所在地、本物のウェブサイトにある文言)を利用して、正当であるように見せかけていることがわかった。Bastionのウェブサイトでは、2016年にSC Magazineの「Best Managed Security Service」賞を受賞したとうたい、またこの偽会社のコンサルタント部門は2016年にSix Degreesに買収されたと主張している。しかし、どちらも事実ではない。
Recorded Futureが偽会社のウェブサイトを分析したところ、正規のサイバーセキュリティ企業であるConvergent Network Solutions(コンバーバージェント・ネットワーク・ソリューションズ)のウェブサイトから大部分がコピーされていることがわかった。研究者によると、このサイトはサイバー犯罪者がよく利用するロシアのドメインレジストラ「Beget」でホストされており、偽会社のウェブサイトのサブメニューの一部はロシア語で「page not found(ページが見つかりません)」エラーを返す。これはサイト制作者がロシア語を話す人物であることを示している可能性があるという。
本稿執筆時点では、Chrome、Safariともにこの「偽装」サイトへのアクセスをブロックしている。
サイトと同様に、Bastion Secureの求人広告も十分に合法的なものにみえる。この架空の会社は、プログラマー、システム管理者、リバースエンジニアを募集しており、仕事内容も他のサイバーセキュリティ企業で見られるものと変わらない。
しかし、Recorded Futureによると、FIN7はBastion Secureを装って、さまざまなサイバー犯罪行為を行うために必要な作業を行うことができる「スタッフ」の育成を目指しているという。
「FIN7がランサムウェアへの関心を高めていることを考えると、Bastion Secureはおそらく特にシステム管理者を探しているのでしょう。というのも、このスキルセットを持つ個人ならランサムウェア攻撃をすることが可能だからです」と研究者は指摘した。
面接のプロセスも、研究者たちにとっては警鐘を鳴らすものだった。第1段階と第2段階では、Bastion Secureがサイバー犯罪活動を隠していることを示すものはなかったが、第3段階では従業員候補者に「実際の」課題を課していて、それによって隠していたものが露になった。
「この会社が犯罪行為に関与していることはすぐに明らかになりました」と研究者は述べた。「Bastion Secureの担当者がファイルシステムとバックアップに特に関心を持っていたという事実は、FIN7が(POS)感染よりもランサムウェア攻撃を行うことに関心を持っていたことを示しています」。
Bastion SecureのITリサーチャーとしての職を得たRecorded Futureの研究者の1人が、Bastion Secureから提供されたツールを分析したところ、そのツールがポストエクスプロイト(侵入後の活動の)ツールキット「Carbanak」と「Tirion(Lizar)」のコンポーネントであることが判明した。この2つのツールキットは、以前からFIN7のものとされており、POSシステムのハッキングとランサムウェアの展開の両方に使用することができる。
「FIN7が偽のサイバーセキュリティ企業を使って、犯罪行為のためにITスペシャリストを募集することにしたのは、比較的安価で熟練した労働力が欲しいためです」とRecorded Futureはいう。「Bastion SecureのITスペシャリスト職の求人情報の給与は月額800〜1200ドル(約9万〜13万6000円)で、これはソビエト後の国家においてはこの種の職種の初任給としてあり得る金額です。事実、FIN7の偽装会社スキームによって、FIN7の運営者はグループが犯罪活動を遂行するために必要な人材を入手することができ、と同時により大きな利益を保持することができます」。
FIN7が合法的な企業を装ったのは今回が初めてではなく、以前は「Combi Security」を装っていたが、望んでいなかった世間からの注目を受けて偽装会社の閉鎖せざるを得なくなった。
ランサムウェア専門家でEmsisoftの脅威アナリストであるBrett Callow(ブレット・カロウ)氏は、FIN7がBastion Secureを装ったのは、法執行機関からの不要な注目を避けるための試みでもあるとTechCrunchに語った。
「サイバー犯罪組織が偽の会社を使って人材を確保しようとすることは、まったく驚くことではありません。ダークウェブからの採用は問題が多く、リスクも高いものです」と話す。「ランサムウェアのギャングは、特定のサイバー犯罪フォーラムではかつてほど歓迎されておらず、応募者は潜入捜査を行っている法執行官である可能性もあります。通常の求人広告を使えば、この2つの問題を解決することができますが、一方で偽の会社がマネーロンダリングなど別の目的を持っている可能性もあります」。
「また、従業員は自分の仕事の性質について間違った方向に導かれる可能性があります。例えば、彼らは企業が自分のペネトレーションテストの本来あるべきではない受け手であることに気づかないかもしれません」とカロウ氏は述べた。
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)
