数十億ドル規模の企業をハッキングする巨大犯罪産業の内幕

10月20日、Dark Xと名乗るハッカーは、サーバーにログインし、Hot Topicの顧客3億5000万人分の個人情報を盗んだと発表しました。翌日、Dark Xは、メールアドレス、住所、電話番号、クレジットカード番号の一部を含むとされるデータをアンダーグラウンドフォーラムで販売しました。その翌日、Dark XはHot Topicから追放されたと主張しました。

Dark X氏によると、今回のハッキングは、消費者向け小売業者へのハッキングとしてはおそらく過去最大規模となるだろうが、部分的には幸運によるものだという。彼らはたまたま、Hot Topicの重要な情報にアクセスできる開発者からログイン認証情報を入手したのだ。その証拠として、Dark X氏は、ハッカーが最近繰り返し標的にしているデータウェアハウスツール「Snowflake」の開発者ログイン認証情報を私に送ってきた。Hot Topicへのハッキングとインフォスティーラーの関連性を最初に発見したサイバーセキュリティ企業Hudson Rockのアロン・ギャル氏も、ハッカーから同じ認証情報を送られてきたと述べている。

運が良かったというのは事実です。しかし、Hot Topic のハッキング事件とされるものは、世界有数の企業へのハッキングを子供の遊びのように簡単にさせている、広大な地下組織に直接関連する最新の侵害でもあります。

AT&T、チケットマスター、サンタンデール銀行、ニーマン・マーカス、エレクトロニック・アーツ。これらは全くの孤立した事件ではありません。すべては「インフォスティーラー」と呼ばれるマルウェアによってハッキングされたのです。インフォスティーラーは、被害者のブラウザに保存されているパスワードやCookieを盗み出すように設計されたマルウェアの一種です。その結果、インフォスティーラーは複雑なエコシステムを生み出し、犯罪者が様々な役割を担う、影で成長を許してきました。ロシアのマルウェア開発者は絶えずコードを更新し、派手な広告を使って請負業者を雇い、YouTube、TikTok、GitHubなどでマルウェアを拡散させています。そして、地球の反対側にいる英語圏のティーンエイジャーは、盗み出した認証情報を使って企業に侵入しています。10月末、法執行機関の協力を得て、世界で最も蔓延している2つのスティーラーに対する作戦を発表しました。しかし、市場は大きく成長し成熟しているため、たとえその一部に対して法執行機関が介入したとしても、インフォスティーラーの蔓延に永続的な打撃を与えることは難しいでしょう。

404 Mediaは、マルウェア開発者、盗まれた認証情報を利用するハッカー、そして新入社員にマルウェア拡散方法を教えるマニュアルのレビューなどへのインタビューに基づき、この業界を詳細に描き出しました。その結果、一見無害に見えるソフトウェアをたった一人がダウンロードしただけで、数十億ドル規模の企業のデータ漏洩につながる可能性があることが明らかになりました。そのため、Googleをはじめとする巨大IT企業は、人々と企業の安全を守るため、マルウェア開発者とのいたちごっこをエスカレートさせています。

「私たちはこの分野のプロフェッショナルであり、今後もGoogleのアップデートを回避するための取り組みを続けていきます」と、最もよく知られている情報窃盗型マルウェアの一つであるLummaC2の管理者はオンラインチャットで語った。「時間はかかりますが、Chromeとの戦いを続けるためのリソースと知識は十分にあります。」

スティーラーズ

インフォスティーラーのエコシステムは、マルウェア自体から始まります。Nexus、Aurora、META、Raccoonといった名前で、数十種類ものインフォスティーラーが存在します。サイバーセキュリティ企業Recorded Futureによると、現在最も蔓延しているインフォスティーラーはRedLineです。マルウェアがあらかじめパッケージ化されていることで、新人ハッカーにとって参入障壁は劇的に下がります。Recorded Futureがインフォスティーラーのトップ10にランクインするLummaC2の管理者は、初心者と経験豊富なハッカーの両方を歓迎していると述べています。

当初、これらの開発者の多くは、暗号資産ウォレットに関連する認証情報やキーを盗むことに関心を持っていました。それらを手に入れれば、ハッカーは被害者のデジタルウォレットを空にし、あっという間に金儲けをすることができました。今日でも多くの開発者が、ビットコインを盗めるツールとして売り出しており、画像内のシードフレーズを検出するOCR機能まで導入しています。しかし最近、同じ開発者とその仲間たちは、ブラウザに保存されている他の情報、例えば被害者の職場のパスワードなどが、副次的な収益源となり得ることに気付きました。

「マルウェア開発者とその顧客は、オンラインアカウントのログイン情報、金融データ、その他の機密情報といった個人および企業の認証情報が、ブラックマーケットで大きな価値を持つことを認識しています」と、インフォスティーラーを綿密に追跡している独立系セキュリティ研究者のRussianPanda氏は404 Mediaに語った。インフォスティーラーの作成者たちは、こうした情報も盗み出すように方向転換したと彼女は述べた。つまり、仮想通貨を狙った窃盗による損失は、それ自体が全く新しい産業を生み出し、医療、テクノロジー、その他の業界にさらなる破壊をもたらしているのだ。

一部の窃盗犯は、収集した認証情報やCookie、あるいはログをTelegramのボット経由で自ら販売しています。Telegramは単なるメッセージングアプリではなく、これらのグループにとって重要なインフラを提供しています。盗まれたログの購入から販売までのプロセス全体がTelegramのボットによって自動化されています。Telegramはコメント要請に応じませんでした。

インフォスティーラーの作成は特に難しいわけではないが、マルウェア開発者は、ユーザーの認証情報の盗難を阻止しようとしている Google などの大手テクノロジー企業のエンジニアと常に衝突している。

例えば7月、Google ChromeはChrome以外のアプリケーション（マルウェアを含む）がCookieデータにアクセスできないようにするアップデートをリリースしました。一時はChromeが優位に立ったものの、LummaC2はユーザーにいくつかの回避策を提供しましたが、どれも確実な解決策ではありませんでした。一部のマルウェア開発者は、より明確に不満を表明しています。あるアップデートでは、2人のインフォスティーラーがマルウェアのコードに「ChromeFuckNewCookies」というフレーズを組み込みました。

「いたちごっこのようですが、結果が良ければ、できる限りこのゲームを続けたいと思っています」と、Google Chromeのスタッフソフトウェアエンジニアであるウィル・ハリス氏は述べた。「もちろん、ユーザーをできる限り守りたいのです」。これは、Chrome自体のセキュリティ強化や、インフォスティーラーからより多くのデータを守ることだけにとどまらない。インフォスティーラー特有の手法について論文を書く研究者が増えるなど、「混乱」も含まれる。こうした混乱は、マルウェア開発者が利用できるツールを制限してしまう。アップデートを一度にリリースするのではなく、定期的に少しずつアップデートをリリースすることで、マルウェア開発者を混乱させることにもつながる。犯罪者のプログラマーは、修正すべき点を一度にすべて把握できるわけではなく、Googleが次に何を取り締まるのか全く予測できないため、時間を無駄にすることになる。

あるアップデートの後、あるスティーラーの顧客の多くが「非常に動揺し、彼ら（マルウェア作成者）は夜通し回避策を考案しなければならなかった」とハリス氏は述べた。さらに、Vidarと呼ばれるスティーラーはツールの価格も値上げしたと付け加えた。「我々はここで機敏さを保たなければなりません。つまり、インフォスティーラーもこの件で急速に動いており、我々は彼らに追いつきたいと思っています。今回のケースではそれが可能だと考えています」と彼は述べた。

彼はまた、Microsoft Windowsを特に例に挙げました。「Windowsを、例えばAndroid、ChromeOS、さらにはmacOSと比較すると、これらのプラットフォームは強力なアプリケーション分離機能を備えています。」つまり、マルウェアがシステムの他の部分からデータを盗み出すのがより困難になるということです。「私たちにとって明らかに主要なプラットフォームであるWindowsには、こうした保護機能が存在しないことに気づきました。」

マイクロソフトの広報担当者はメールで次のように述べています。「すべてのWindows PCに求められるハードウェアベースの基本要件（TPM、セキュアブート、仮想化ベースのセキュリティなど）に加え、Windows 11では多くのセキュリティ機能がデフォルトで有効化されており、情報窃盗犯にとってより困難になっています。弊社のガイダンスでは、ユーザーはWindowsデバイスを管理者ではなく標準ユーザーとして実行することをお勧めします。標準ユーザーとして実行すると、ユーザー（およびユーザーが使用するアプリ）はコンピューターに変更を加えることはできますが、デフォルトではシステムへのフルアクセスは許可されません。そのため、情報窃盗犯は、目的のデータを容易に盗むために必要なフルアクセスを得ることができません。」

Recorded Future によると、Mac 向けの Infostealer マルウェアは確かに存在するが、その規模ははるかに小さいとのことです。

マルウェア作成者は効果的なソフトウェアを手に入れているかもしれません。しかし、最終的にそのソフトウェアを被害者のコンピュータに侵入させるのは、他の誰かの仕事です。

トラファーズ

エレクトロニック・ラップが流れる中、男性が両手を前に伸ばし、椅子に深く腰掛けている。カメラは彼らのアパートと思われる部屋をパンする。大きなダイニングルームの床から天井まで届く大きな窓、ウッドパネルの床、そしてファンキーなシャンデリア。別のショットでは、男性がノートパソコンを開き、タイピングをした後、ウイスキーらしき飲み物を一口飲んでいる。これは「もし私たちが一緒に仕事をしたら、この人はあなたかもしれない」という含みがある。

これは、Lolzと呼ばれる地下フォーラムに集まる、目もくらむほどの数の広告の一つです。このフォーラムでは、「トラファー」たちが新たな仲間を探しに集まっています。この動画の男性は、人々の資金を盗む偽のカジノツールを売り込む人材を探しています。しかし、「トラファー」セクションの残りの大部分は、増殖するインフォスティーラー（情報窃盗犯）に特化しています。これらの業者の仕事は、マルウェアの拡散やトラフィック獲得を支援することであり、各チームは競争の激しい市場で注目を集めようと競い合っています。各社は派手な広告やブランディングで優位に立とうとしています。彼らは「Billionaire Boys Club」「Baphomet」「Chemodan」といった名前を使っています。彼らの広告には、コンピューターで生成された高級車やプライベートジェットのアニメーションGIFが含まれています。「Cryptoland Team」の広告では、鎧を着た騎士がフードをかぶった骸骨を見下ろしながら羊皮紙に何かを書き込んでいる様子が描かれています。Cryptoland Teamは、LummaC2やRhadamanthysという別の情報窃盗犯と協力していると主張しています。

「お支払いは丸太か現金。選択肢は一つ。丸太を受け取るか、私たちが買うかです」と、悪魔的なブランドを掲げたバフォメットというチームの広告には書かれている。

各チームは、使用するインフォスティーラーのブランド、協力者が期待できる利益の分配方法、そして盗み出したログを仲間が持ち帰ることを許可しているかどうかを記載しています。そしてほとんどのチームは、協力者が独立国家共同体（СНГ）や旧ソ連構成国（ベラルーシ、ウクライナ、ロシアを含む）を標的にすることを禁じていると明確に述べています。協力者は、チームと協力して金銭を稼いだことを証明するレビューやスクリーンショットを残します。

これらのチームの多くは、独自のTelegramボットを通じて新規の応募を受け付けています。経験豊富な人材のみと協力したいという厳格なチームもあれば、誰でも受け入れるというチームもあります。404 Mediaは、いくつかの基本的な質問に答えるだけで、2つのトラファーチームの応募プロセスを簡単に通過できました。その後、ボットは各チームのマニュアルへのリンクを送信し、マルウェアの拡散方法を説明しました。

例えば、Baphomet のマニュアルでは、Roblox のチートソフトウェアにスティーラーを組み込むことを推奨しています。さらに、チートを宣伝する YouTube 動画の設定方法、ひいてはマルウェアの拡散を助ける方法についても説明しています。

トラファーチームの別の広告では、TikTok、Telegram、Instagram、Twitter、Facebook、YouTube、YouTube Shorts、メールニュースレター、ブロガー、インフルエンサーと連携できると謳っています。ハッカーがウイスキーを飲んでいる動画では、彼のラップトップにTikTokのページが表示されている場面があります。多くのマニュアルもこの点を反映しており、インフォスティーラーを他のソーシャルメディアサイト経由で配布することを推奨したり、GitHubを効果的なトラフィッキング手段として挙げています。

一部のインフォスティーラーは、クラック版や海賊版ソフトウェアにも潜んでいます。こうしたソフトウェアがこれほど効果的な理由の一つは、ユーザーがソフトウェアを探し求めているからであり、その逆ではないからです。人々は、結果など気にせず、積極的に無料ソフトウェアを探しているのです。

Googleの広報担当者はメールで、「YouTubeコミュニティを悪用するスパム、詐欺、その他の欺瞞行為を防止するためのポリシーを策定しています。これには、ユーザーをYouTubeから別のサイトへ誘導することを主な目的とするコンテンツの禁止も含まれます」と述べています。

Metaはコメント要請に応じなかった。TikTokは要請を認めたものの、記事掲載までに回答は得られなかった。

そして、こうした情報窃盗犯をはじめとするサイバー犯罪者は、明らかに大規模な成功を収めています。Recorded Futureによると、同社は毎日25万件もの新たな情報窃盗犯による感染を確認しています。

チャンネルとサイト

収集された認証情報はTelegramチャンネルに送り込まれ、大量のCookieとログイン情報が販売されるようになります。LummaC2の管理者は、盗まれたログの販売について「これはかなりの収入をもたらしますが、具体的な金額は公表できません」と述べました。Telegramボットをテストしたところ、国、Cookieの数、利用可能なパスワードでフィルタリングすることが可能です。404 Mediaは、米国のログが多数販売されていることを確認しました。過去数週間で、これらのTelegramチャンネルの一部は削除されました。Telegramは、これらのチャンネルに対して何らかの措置を講じたかどうかを尋ねるコメント要請には回答しませんでした。

これらのチャンネルは、トラファーと同様に独自のブランディングを持っています。多くのチャンネルは、おそらく有料サービスの宣伝を目的として、盗んだ認証情報を無料で配布しています。無料で入手できる認証情報でさえ、標的の組織にとって壊滅的な被害をもたらす可能性があります。今年初め、あるセキュリティ研究者が、公開されたログイン情報を利用して、TikTok、Uber、Xと提携しているID認証会社AU10TIXのサーバーに侵入しました。当時、研究者は404 Mediaに対し、これらの認証情報はTelegramで利用可能な無料ストリームから入手されたものであると説明しました。

一部のウェブサイトは、インフォスティーラーのログを販売することに特化したり、販売セクションを設けたりしています。Genesis Marketは、2021年にエレクトロニック・アーツへの侵入に関与したハッカーが同社のSlackのログイントークンを入手したサイトです。2023年に当局はGenesis Marketを閉鎖しましたが、Recorded Futureによると、認証情報の販売の多くは、別の長期運営サイトであるRussian Marketに移行しています。

ここでハッカーの出番です。AT&T、Ticketmaster、その他Snowflakeを利用していた企業への情報漏洩に関与したハッカー、Judische氏は、こうしたフィードから盗んだ認証情報を盗み出し、標的のサーバーにログインしたと考えられます。これらの企業の中には、多要素認証を使用していなかったケースもありました。しかし、ログの威力は、こうした追加の保護層を回避できることにあります。Cookieは、サービス側を騙してユーザーが信頼できると認識させ、追加のログインコードを要求しないようにすることができます。

ログの最終的な入手先が全く不明なまま、一部の英国人ハッカーが大規模グループチャットで特定の国の標的に関連するパスワードを要求しているようです。最近見たハッカーの一人は、カナダの被害者のログが欲しいと言っていました。

Hot TopicのハッカーとされるDark X氏にインタビューした際、彼らは金儲けの新たな可能性を感じているようでした。彼らはログも販売していると話していました。

「買いたい？笑」と彼らは書いた。