マイクロソフトのデジタル犯罪対策部門がサイバー犯罪阻止の取り組みを詳細に解説

近年、世界中の政府とテクノロジー業界は、オンライン詐欺やサイバー犯罪の増加を抑制するために奔走しています。しかし、デジタル防御、法執行、抑止力の進歩にもかかわらず、ランサムウェア攻撃、ビジネスメール詐欺、マルウェア感染は後を絶ちません。過去10年間、マイクロソフトのデジタル犯罪対策ユニット（DCU）は、詐欺の捜査、犯罪インフラの排除、悪意のあるトラフィックのブロックのために、技術的および法的両面から独自の戦略を構築してきました。

DCUの原動力となっているのは、もちろんMicrosoftの巨大な規模と、Windowsの普及によってもたらされるインターネット全体への可視性です。しかし、DCUチームのメンバーはWIREDに対し、彼らの活動は広範な政策課題や企業からの命令ではなく、被害者を守るという非常に個人的な目標に基づいていると繰り返し語っています。

DCUは最新の活動として、水曜日の夜、マイクロソフトがStorm-1152と呼ぶサイバー犯罪グループを壊滅させるための取り組みを発表しました。犯罪エコシステムの仲介役であるStorm-1152は、身元確認バイパスメカニズムなどのソフトウェアサービスやツールを他のサイバー犯罪者に販売しています。このグループは偽のMicrosoftアカウントの作成者および販売者としてトップに成長し、約7億5000万件の詐欺アカウントを作成し、数百万ドルで売却しています。

DCUは、長年にわたり知的財産保護に関して磨き上げてきた法的手法を駆使し、Storm-1152に対抗しました。チームは12月7日、ニューヨーク南部地区連邦地方裁判所から、米国におけるこの犯罪グループのデジタルインフラの一部を押収し、1stCAPTCHA、AnyCAPTCHA、NoneCAPTCHAなどのサービス、そして偽のOutlookアカウントを販売するHotmailbox.meというサイトを含むウェブサイトを閉鎖するよう命じる裁判所命令を取得しました。

この戦略はDCUの進化を反映しています。「デジタル犯罪ユニット」という名称のグループは2008年からマイクロソフトに存在していましたが、現在の形になったのは2013年、旧DCUがマイクロソフトの知的財産犯罪ユニットというチームと合併した時でした。

「事態ははるかに複雑になっています」と、DCUの主任研究員であるピーター・アナマン氏は語る。「従来は1人か2人が協力して作業していました。しかし今、攻撃を観察すると、複数のプレイヤーが関与しています。しかし、それを分解し、関与する様々な層を理解できれば、より効果的な対策を講じることができるでしょう。」

DCUがサイバー犯罪撲滅に技術的・法的アプローチを融合させているのは依然として異例だが、サイバー犯罪のエコシステムが進化し、国家支援のハッキング活動と重なるにつれ、サイバー空間において創造的な法的戦略を用いるという考え方がより主流になってきている。例えば近年では、Meta傘下のWhatsAppとAppleが、悪名高いスパイウェアメーカーNSOグループを相手取って訴訟を起こしている。

それでも、DCUの特異な発展は、コンシューマー向けインターネットの台頭期におけるマイクロソフトの圧倒的な優位性の結果でした。2000年代後半から2010年代初頭にかけて、蔓延したConfickerワームなどの脅威に対処する中で、DCUの使命が明確になるにつれ、その型破りで積極的なアプローチは、その影響や​​合法的な企業やウェブサイトへの潜在的な影響について、時折批判を浴びました。

「詐欺師に対抗するためにこれほど直接的なアプローチを取る企業は他にありません」と、WIREDは2014年10月のDCUに関する記事で述べている。「そのためマイクロソフトは非常に効果的だが、少し恐ろしい側面もあると、専門家は指摘しています。」

DCUの副法務顧問であり、フロリダ州南部地区の元連邦検事補でもあるリチャード・ボスコヴィッチ氏は、2014年にWIREDの取材に対し、コンフィッカーのようなマルウェアがウェブ上で猛威を振るうのを見て、マイクロソフト社内では自社製品の防御力は向上できるものの、犯罪の背後にいる犯人に直接対処する手段がないことに苛立ちを感じていたと語った。このジレンマがDCUのイノベーションを促し、今もなおその勢いは続いている。

「人々に影響を与えるものは何なのか？それが私たちの任務であり、私たちは変化を起こし、新たなタイプの犯罪に立ち向かうための力をつけてきました」と、DCUの分析担当ディレクター、ゾーイ・クルム氏は語る。2000年代半ば、現在マイクロソフトの副会長兼社長を務めるブラッド・スミス氏が、メールスパムの脅威に会社の関心を向けさせる原動力となったとクルム氏は語る。

DCUは常にインキュベーションチームのような存在でした。突然、『スパム対策を講じなければならない』という状況になったのを覚えています。ブラッドがチームに加わり、『よし、みんな、戦略を立てよう』と言ったんです。『さあ、ここに集中しよう』と言われたことを、私は決して忘れません。そして、マルウェア対策に進出する時も、テクニカルサポート詐欺、オンラインでの児童搾取、ビジネスメール詐欺など、その流れは今も続いています。」

グループが成熟し、これらすべての分野に拡大するにつれ、「責任とリスクにさらされることへのこだわり」が、彼を夜も眠れなくさせる仕事のもう一つの要素になっているとボスコビッチは語る。

「助けたい、そして色々なことをしたいという気持ちはありますが、どんな善行も報われない時があります」と彼は言います。「時には、誰かを助けようとして、助けようとして相手のコンピューターをシャットダウンしてしまうこともあります。そうすると、助けようとしているにもかかわらず、相手の小さなビジネスが潰れてしまうのです。どうすればそんな状況に対処できるのか？それが私の仕事で一番難しい部分です。法的な創造性は素晴らしいのですが、どうすれば許容できるリスクなのか、そして二次被害が出ないようあらゆる調査をきちんと行えるのか、どうすれば分かるのでしょうか？」

同グループが開発に注力してきた法的戦略は、デジタル脅威の進化に合わせて進化しています。2016年、DCUは国家主導のハッキングに関連する妨害行為に対処するため、裁判所に「特別マスター」を設置するというアプローチを採用し始めました。裁判官が任命するこの特別マスターは、進行中の事件の直接の連絡窓口となり、事件が正式に終結した後も何年も活動を続けるため、DCUは新たな裁判所命令を申請することなく、インフラの停止などの措置について裁判所の承認を得ることができます。

「これにより、私たちはこれらの脅威を常に把握し、数分以内に命令を受けることができます」とボスコビッチ氏は語る。「訴訟プロセスをサイバー攻撃とほぼ同等のスピードで加速させることができます。」

彼はまた、近年のサイバー犯罪エコシステムの専門化を踏まえ、脅威アクターへの対策を講じることの難しさを指摘しています。犯罪グループは現在、シンジケートとして活動しており、複数の部署が犯罪遂行の様々な側面を担当しています。また、自社開発ではないサービスについては、第三者と契約を結んでいるケースもあります。

「法的な問題があります。別々の活動を行っている複数の人々を、どのようにして一つの告訴状や一つの告訴にまとめるのか？彼らは必ずしもお互いに面識があるわけではないのです」とボスコビッチ氏は言う。この状況に対処するため、グループは米国の組織犯罪対策法（RICO法）に基づく法的戦略に取り組んだ。この法律は、個々の犯罪行為ではなく、犯罪組織に焦点を当てている。

「彼らはマルウェアを開発し、仲介し、そして操作した者たちです。ですから、彼らを一つにまとめて法的書類にまとめ、一元化することができます」と彼は言う。「今では、それが私たちの法的戦略の一部にもなっています。」

サイバー犯罪や国家支援によるハッキングがエスカレートし続ける中、DCUは法執行機関との連携を拡大し、刻々と変化する様々な世界的危機においてその技術を活用してきました。例えば2016年には、同グループは初めて国家機関への攻撃を成功させ、ロシアのAPT28（通称ファンシーベア）関連の攻撃を阻止しました。攻撃者は、その年の米国選挙に関連した悪名高いフィッシング攻撃や偽情報キャンペーンにおいて、Microsoftのようなドメインを使用していました。2018年には、同グループはインドの10の犯罪コールセンターの背後にいるアクターに関する調査結果をデリー警察と共有し、米国、カナダ、オランダ、オーストラリアの被害者を騙していたことが明らかになりました。この情報共有の結果、63人が逮捕されました。 2020年、DCUはパンデミック関連のサイバー犯罪に使用されたドメインを押収し、また2020年の米国選挙を前に悪名高いTrickbotランサムウェアグループの削除も実施した。

「私たちは被害者保護の観点から考える傾向があります」と、マイクロソフトのゼネラルマネージャー兼サイバーセキュリティ政策・保護担当副法務顧問としてDCUを監督するエイミー・ホーガン＝バーニーは述べています。「抑止力については一般的に政府に任せていますが、私が常に重視しているのは被害者保護です。これは、マイクロソフトのお客様、あるいは特定のタイプのお客様といった限定的なものから、インターネットを利用していてサイバー犯罪の影響を受ける可能性のあるすべての人といった非常に広範なものまで、幅広く対象とすることができます。」