ロシアとつながりのある高度な犯罪者集団が、ポルノサイトにランサムウェアを仕込んだ広告を掲載することで数百万ドルを稼いでいた。主要メンバーの1人が現在、投獄されている。
ラピッドアイ/イザベル・パヴィア/エフゲン・ロマネンコ/WIRED
2012年8月、 FBIは警告を発しました。1年も経たないうちに発見されたRevetonランサムウェアが、オンラインで大きな混乱を引き起こしていたのです。この詐欺は、感染したポルノサイトにアクセスしたユーザーを標的とし、「コンピューターがロックされました!」という警告を画面に表示しました。
FBIのロゴを模した偽装版の下に、コンピューターの「アクティビティ」が記録され、MP3や映画のダウンロードなどの違法行為が検出されたと警告するメッセージが表示されていた。米国外在住の人がこのページにアクセスすると、別の警察のロゴとメッセージが表示される。コンピューターの制御を取り戻す唯一の方法は、1,000ドルの罰金を支払うか、懲役刑に処されるかのどちらかだ。
7年後、Revetonランサムウェア拡散の首謀者の一人が投獄された。ロンドンのキングストン刑事法院で、24歳のザイン・カイザーは、ロシアのサイバー犯罪グループと繋がりのある高度な攻撃活動に関与した罪で、懲役6年5ヶ月の判決を受けた。カイザーは同グループと共謀し、利益を山分けしていた。
この詐欺は、偽の身元を使って複雑な偽企業ネットワークを構築し、世界最大級のポルノサイトで広告スペースを購入するというものでした。広告は人々をウェブサイトに誘導し、そこからランサムウェアに感染させる可能性がありました。多くの人がこの詐欺に引っかかりました。警察によると、K!NGというオンライン名義で活動していたカイザーは、2012年以降、このグループでの役割を通じて少なくとも70万ポンド(約8,000万円)を稼いでいたとのことです。ただし、正確な金額は不明です。カイザーは昨年12月に警察に拘束されるまで、オンライン犯罪で金を稼いでいました。
彼がこの計画に関与し始めて間もなく、英国法執行機関の注目を集めた。「彼はロシア語を話す組織的なサイバーグループと接触したのです」と、英国国家犯罪対策庁(NCA)サイバー犯罪対策ユニットの運用責任者であるマイク・ヒューレット氏は説明する。オンラインフォーラムやチャットを通じて、カイザー氏はロシア語を話すグループとの関係を築くことができた。「彼らのコーディングスキルと、彼の語学力、そしてソーシャルエンジニアリングのスキルは、まさに天が与えた組み合わせでした」とヒューレット氏は付け加えた。
その後、NCA(国家犯罪捜査局)、FBI、米国シークレットサービス、そして欧州各国の法執行機関が関与する、数年にわたる徹底的な警察捜査が行われました。カイザー容疑者は2014年に初めて逮捕されましたが、警察と検察が法廷に出廷し、容疑を認めるまでにはさらに5年かかりました。彼は恐喝、詐欺、マネーロンダリング、コンピューター不正使用など11件の罪で起訴されました。
カイザー氏がこのグループに関与したのは当初、その技術のユーザーとしてだったと、この事件を率いたNCAの上級捜査官ナイジェル・リアリー氏は述べている。しかし、時が経つにつれ、彼はその活動にますます深く関わるようになった。リアリー氏によると、暗号化されたMacBook Proから得られた証拠は、彼を法廷に引き出す上で重要な役割を果たしたという。そのデバイスには、真実を隠すために構築された個別のシステムのネットワークが含まれていたのだ。
「MacBook Proには2つのOSがインストールされていました」とリアリー氏は語る。MacとWindowsの両方だ。「それらのパーティションでは仮想マシンが動作しており、それらは暗号化されていました。また、別の場所にあるインフラの一部にリモートサーバーとリモートデスクトップが使用されている証拠も確認されました。」カイザー氏は当初、ハッキングされたと主張していたが、捜査官はOSのインストール、マシンの最初の電源投入、そしてソフトウェアのインストール日時を調べ、それが彼の所有物であることを証明した。
コンピュータサイエンスを専攻する学生だったカイザーは、犯罪組織の広告部門の運営を担当し、オンライン広告業界の仕組みを熟知していた。「彼はリアルタイム入札、つまり様々な広告の仕組み、入札額、特定の地域や重複IDではなく固有のIPアドレスから得られる広告の価値などに精通していました」とリアリーは語る。
グループが費用を負担した広告はすべて、合法的な代理店や組織を通じて提供されていました。成功するには、人々がクリックしたくなるような広告である必要がありました。多くの広告は、アダルトパフォーマーがライブ動画を配信する無料ウェブカメラサイトの宣伝でした。しかし、広告をクリックすると、ランサムウェアをホストするサイトに誘導されました。リアリー氏は初期の広告の多くが「馬鹿げた、ごく普通のGIF画像」だったと述べています。しかし、時が経つにつれ、グループはより現実的なキャンペーンを制作するために人々に報酬を支払うようになりました。
マルウェアバイツ・ラボの脅威インテリジェンス責任者、ジェローム・セグラ氏は、この広告活動は「複数の広告ネットワークを悪用した巧妙な計画」であり、正当な広告主を装っていたと述べています。「彼はこれらのプラットフォームを利用して広告スペースを購入し、最小限のコストで非常に正確にユーザーをターゲティングしていました」とセグラ氏は言います。裁判では、カイザー氏が5,000ポンドのロレックスの腕時計、68,000ポンドをロンドンのカジノでのギャンブル、高級ホテル、麻薬、売春婦に費やしたと主張されました。「あなたは反省していると主張されていますが、私はそのような外的な表現を見たことがありません」と、ティモシー・ラム判事は述べました。
当初、このグループは偽造IDや偽造パスポートを使って広告スペースを購入していました。疑わしいアカウントを閉鎖しようとする広告ネットワークと、犯罪グループは月に一度という頻度で新しいIDを作成し、いたちごっこを繰り返していました。広告ネットワークが疑念を抱くようになると、グループはより洗練された戦術へと切り替えていきました。
NCAによると、このグループは一時期、広告費として月額5万ドルを費やしていた。「最終的に、彼らはより包括的で複雑な手法に移行し、『我々は独自のアフィリエイトネットワークだ』と謳うフロント企業を擁するようになりました」とリアリー氏は説明する。カイザーは、顧客とされる人物の行動を隠すための企業を運営し始めた。
そうした企業の一つがTrafficInside.Meです。2014年のウェブサイトのアーカイブ版には、パブリッシャーと広告主に24時間365日のサポートを提供すると謳っていたことが分かります。
リアリー氏によると、このウェブサイトは2018年当時もカイザー容疑者によって使用されており、押収された端末にもその情報が記載されていたという。「だからこそ、これは犯罪資金だと推測したのです。同じフロント企業であり、偽の身元を使って広告代理店とやり取りしているようで、巨額の資金が動いているからです」とリアリー氏は述べた。
カイザー氏は2017年2月に起訴されたが、精神保健法に基づき入院させられたため、翌年の裁判は中止された。2018年12月、保釈中にロンドン北東部のグッドメイズ病院のWi-Fiネットワークから、自身が以前利用していた広告ウェブサイトにアクセスされたとして、12万ポンドの資金洗浄の容疑で逮捕された。この時、カイザー氏は容疑を認めた。
捜査官によると、使用されたマルウェアの開発はロシアのサイバー犯罪グループが担当し、Qaiserの専門はソーシャルエンジニアリングだったという。グループは攻撃にAnglerエクスプロイトキットを使用し、Revetonランサムウェアを展開する前にデバイスの脆弱性をスキャンした。「Revetonマルウェアは、堅牢な配布チャネルと最高品質のエクスプロイトキットを用いた高度な攻撃手法でユーザーを侵害していました」とセグラ氏は述べている。
「Revetonはシステム上のファイルを暗号化したり削除したりしておらず、セーフモードでセキュリティツールを使ってスキャンするか、ブートディスクを使って同じことをすることで、通常は簡単に復旧できます」と、Malwarebyte Labsのディレクター、アダム・クジャワ氏は述べています。攻撃当時、ビットコインなどの暗号通貨は広く普及していなかったため、Revetonは現金チャージカードであるMoneyPakを使って支払いを要求しました。
2013年5月に米国政府によってデジタル通貨サービス「リバティ・リザーブ」が停止され、そのサーバーからカイザー氏がユーザーであったことが判明した際、カイザー氏の身元が一部判明した。共犯者のレイモンド・オディジー・ウアディアレ氏は、この詐欺事件に関連して昨年8月に投獄された。ウアディアレ氏に対する起訴状には、彼がK!NGの資金洗浄をどのように幇助したかが詳細に記されていた。
捜査官たちは、Qaiser氏のMacBookに保存されていた100万枚以上の画像を特定しました。3,200件以上のチャットログ(整理には750時間を要しました)に加え、詐欺行為の監視と実行に使用されていたダッシュボードのコピーも発見されました。特に、ソフトウェアの主要なコントロールパネル3つが捜査官によって特定されました。
Leary氏によると、Anglerエクスプロイトキット用のダッシュボードもあったという。これにより、グループは使用しているコードがウイルス対策ソフトによって検出されたかどうかを確認できるほか、感染率も確認できた。また、Reveton用のダッシュボードもあった。これにより、グループは感染数、トラフィックの現金化、そして換金に必要な金額の詳細を監視できた。
「これら2つの基盤となっているのは、TDSと呼ばれるトラフィック指向性分散システムです」とリアリー氏は語る。「これは広告業界で広く使われているものです。しかし、これらの業者は、クリエイティブのアップロードや悪意のあるJavaScriptのアップロード、そして導入によって達成したいことを切り替えるためにTDSを利用しているのです。」
これらすべてに加え、偽のドメイン、偽の企業、偽のIDからなるネットワーク、そして広告グループとの複雑な交渉も必要だった。「あれはフルタイムの仕事でした」とリアリーは語る。カイザーは悪質な広告に抵抗した広告代理店を脅迫し、少なくとも2件の分散型サービス拒否(DDoS)攻撃を企業に仕掛け、50万ポンドの損害を与えた。事件終結後、NCAはカイザーを「これまで捜査した中で最も洗練され、深刻かつ組織化されたサイバー犯罪グループ」の一つと評した。
クジャワ氏は、このグループや他のサイバー犯罪者によるRevetonの使用が、ランサムウェアの世界を再定義する一因となったと述べている。「2013年以降、私たちが対処してきた脅威の少なくとも50%は、Revetonに触発されたものであり、システムを欺いたり、隠れながら情報を盗んだりするよりも、ソーシャルエンジニアリングやユーザーを騙す手法を多用しています」と彼は述べている。
「これはまさに逆方向への動きでした。ほとんどのマルウェアは静かに隠れようとしますが、ランサムウェアは派手で目立ちます。そのため、多くの人がロック画面を真剣に受け止め、恐怖を感じたのです。」
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
