Protect Against Russia-Ukraine Cyber Activity

オペレーションファルコン II: Unit 42、国際刑事警察機構(INTERPOL)に協力 ナイジェリアのビジネスメール詐欺グループを特定

By

Category: Announcement, Unit 42

Tags: , , ,

A conceptual image representing an adversary, such as the members of the business email compromise ring SilverTerrier, some of whom were arrested in INTERPOL's recent Operation Falcon II

This post is also available in: English (英語)

概要

2022年1月19日、国際刑事警察機構(INTERPOL)とナイジェリア警察は、ナイジェリアのビジネスメール詐欺(BEC)アクター11名の逮捕につながった共同作戦「オペレーションファルコンII」の結果を発表しました。この作戦では、複数の業界パートナーと6カ国以上の法執行機関が団結して情報とリソースを活用しあい、それまでは国外法執行機関の管轄権の及ばぬところで活動してきたアクターの中心的メンバーに、世界中の被害者をマッピングしました。

BECは依然として、お客様が直面する最も一般的で最もコストのかかる脅威です。この脅威は、2020年のFBI Internet Crime Complaint Center(IC3)のレポートで5年連続でトップを占めてきました。この5年強で、世界の損失額は2016年の3億6,000万ドル(およそ410億円)から2020年には18億ドル(およそ2049億円)という驚異的な額へと膨れあがりました。いまは2021年の数字発表をいまや遅しと待っているところですが、弊社のテレメトリやお客様にBEC攻撃対応支援を行ってきたこれまでの実感では、昨年のグローバルの損失額は新たな記録を打ち立てるものと予想されます。

巨額の損失ではありますが、業界と世界の法執行機関は、この活動を阻止するために多大な努力を続けています。

また今回のオペレーションは、BECのスキームで利益を得ていると思われる、わかりやすいマネーミュールや派手なインスタグラムのインフルエンサーをターゲットにしていないという点で、斬新なアプローチでした。今回のアプローチでは、BECオペレーションの技術的バックボーンに主眼を置き、これらのスキームで使用されるマルウェアやドメインのインフラを構築・展開するためのスキルや知識を持つアクターをターゲットとしています。逮捕者11名のうち6名がSilverTerrier(ナイジェリアのマルウェア)のアクターであることがわかりました。彼らがこれまでのおよそ5年間起訴を免れてきた理由は、盗まれた資金の流れからさかのぼって最初の悪意のあるネットワーク活動へたどり、世界中の被害者をマッピングするという作業が難しかったためです。

本稿では、この6名のアクターの略歴と、BECの脅威から組織を保護する上での推奨事項を紹介します。

パロアルトネットワークスのお客様は、 Cortex XDR次世代ファイアウォール向けのWildFire脅威防御AutoFocusAdvanced URL Filteringサブスクリプションサービスなどの製品によって、本稿で取り上げた種類のBECの脅威から保護されています。

オペレーションファルコンII関連の逮捕写真(INTERPOL提供)
オペレーションファルコンII関連の逮捕写真(INTERPOL提供)
オペレーションファルコンIIの逮捕者に含まれる脅威アクター:   SilverTerrier
Unit 42の関連トピック cybercrime, business email compromise

目次

BECの脅威アクター
保護と緩和策
結論
追加リソース

BECの脅威アクター

Darlington Ndukwu

Darlington Ndukwuの写真(SNSより)。ビジネスメール詐欺の脅威アクターを阻止する「オペレーションファルコン」に関連した最近の共同作戦で逮捕された人物
図1 Darlington Ndukwuの写真(SNSより)。

別名: Darlington Opara, Darlington Smith, Darlly Ndu, DN Network, Engr. DN, ask4dn, padarlingtonsmith, darllymoore4u, dnhovercraft2000

ドメイン: このアクターは他のナイジェリアのBECアクターをサポートしていたことから1,300個以上のドメイン登録が同アクターと何らかの関連性を持っていることがわかりました。このうち285ドメインがこのアクターと直接つながっていました。最も注目すべきは、マルウェアに加え、独自のホスティングサービスやネームサーバーを運営し、その両方で他のアクターをサポートしていた点です。これらのドメインのなかには、それまでに銀行機関や政府機関などを騙っていたドメインも含まれていました。例: annexbanks[.]com, bangkokbnk[.]com, barcklaysplc[.]com, cimbmy[.]com, hsbc-london.co[.]uk, Western-union[.]org, americans-airforce[.]com, armymilitary[.]us, fbigov[.]org, immigration-ng[.]com, indonesia-gov[.]com, iowahomelandsecurity[.]com, military-welfare[.]comandunitednatios[.]eu

マルウェア:ISRStealer、Keybase、Pony、LokiBot、PredatorPain、ISpySoftware

最も古い活動: 2014年

備考: このアクターは、あるセキュリティリサーチャーの名と組織を騙って不正ドメインを登録し、同リサーチャーを標的にしたことが知られています。さらに重要なのが、このアクターは2018年にFBIによるオペレーション「WireWire」でも逮捕されていたと考えられている点です。つまり今回の逮捕は、ナイジェリアのアクターがBECで2度逮捕された初めての例となります。つまり初回の起訴はその後の犯罪行為の阻止に不十分であったということも示唆しています。

Onuegwu Ifeanyi Ephraim

Onuegwu Ifeanyi Ephraimの写真(SNSより)。最初のオペレーションファルコンで逮捕され、2021年12月にオペレーションファルコンIIで再逮捕された人物
図2 Onuegwu Ifeanyi Ephraimの写真(SNSより)。

別名: Ifemonums, SSGToolz, SSGDomains, Alper Larcin

ドメイン: このアクターは他のナイジェリアのBECアクターのサポートもしています。このアクターの名前、別名、メールアドレスで登録されたドメインは144個以上あります。このアクターが使用したドメインの例として gulf-capital[.]net、owenscorming[.]com、pennssylvania[.]com[.]mx、starwooclhotels[.]comus-military-service[.]comなどがあげられます。このほか、このアクターが仲間のために登録したドメインには、ayamholy[.]comkabospy[.]comなどがあります。

マルウェア: LokiBot, PredatorPain, ISRStealer, Pony, NanoCore, AzoRult, ISpySoftware, Agent Tesla, Keybase

最も古い活動: 2014年

備考: このアクターは7年以上活動しています。その間に、自身の犯罪行為にならおうとする若手アクターたちのスポンサーとなり、サービスを提供してきました。BECのあるフォーラム1つとっても、彼は他に30名のアクターのアクセスを支援したことが知られています。2020年11月、このアクターはBEC活動に関与して3人の仲間とともに逮捕されました。その逮捕はINTERPOL、ナイジェリア警察、Group IBが共同で行った最初の「オペレーションファルコン」でのことでした。出所後、このアクターはすぐに以前のスキームに戻り、2021年3月にcovid19-fundservices[.]comというドメインを登録しているのが確認されています。さらなる証拠の特定により、このアクターは2021年12月にオペレーションファルコンIIで再び逮捕されました。

Oyebade Fisayo

Oyebade Fisayoの写真(SNSより)。オペレーションファルコンで最近逮捕された人物
図3 Oyebade Fisayoの写真(SNSより)。

別名: EncryptionCode, Fyzee, Fyzeeconnect

ドメイン: このアクターは、他のナイジェリアのBECアクターをサポートしており、約250個のドメインが彼の別名やメールアカウントに直接リンクされています。それらのドメインの大半は物流系企業を装ったものです。例えば、atlanticexpresslogistics[.]com、clarionsshipping[.]com、dpdexpressuk[.]com、dynamicparceldelivery[.]comshipatlanticlogistics.co[.]ukなどがあります。

マルウェア: ISRStealer, Pony, LuminosityLink, NanoCore, LokiBot, Keybase, Adwind, Agent Tesla, PredatorPain, ImminentMonitor

最も古い活動: 2015年

備考: このアクターは、BECスキームを直接サポートするほか、Facebookの友人にリモートアクセス型トロイの木馬の使い方を無料でアドバイスするなども行っていました。

Oyebade FisayoのFacebookメッセージ
図4 Oyebade FisayoのFacebookメッセージ

Kevin Anyanwu

Markens Clothingの写真(SNSより)。ビジネスメール詐欺の脅威アクターを阻止する「オペレーションファルコン」に関連した最近の共同作戦で逮捕された人物
図5 Markens Clothingの写真(SNSより)。

別名: Markens Clothing

ドメイン: 2015年にこのアクターは、hsbctelex[.]netというドメインを登録しました。HSBCは世界最大級の金融機関の1つです。またTelexはTelegraphic Transfersの略で国内外の決済に使われます。このドメインを登録する際、このアクターは、Markens Clothingという(ビジネスではなく)個人のFacebookページに関連するとされていた電話番号を使用していました。

マルウェア: このアクターが所有するドメインにコールバックするマルウェアは確認されていません。ただしこのドメインはBECキャンペーンを支援するために不正な目的で使用された可能性が高いと考えられます。

最も古い活動: 2015年

備考: このアクターは、Onuegbu Ifeanyi Ephraimの仲間の1人です。

Onukwubiri Ifeanyi Kingsley

Onukwubiri Kingsleyの写真(SNSより)。ビジネスメール詐欺の脅威アクターを阻止する「オペレーションファルコン」に関連した最近の共同作戦で逮捕された人物
図6 Onukwubiri Kingsleyの写真(SNSより)。

別名: Soja Rex, Ifeanyi Soja, Soja TMT, Richard Manson

ドメイン: : このアクターのメールアドレスは、20個のドメイン登録に直接つながっています。これらのドメインには、PNCFinancial[.]caPrimeFCU[.]comなどの金融機関を装ったドメインが含まれます。ドメイン登録時の電話番号や住所に注目すると、さらに370個の不正なドメインが見つかりました。これらのドメインは、同アクターとその仲間によって使用されていた可能性があります。例えば、彼の電話番号は、Uwe Martin(UweTMT)という個人名ないし別名で登録された5つのドメインともつながっています。そのうち2つのドメインは、qatarairways[.]pwcokepromo[.]asiaです。

マルウェア: Pony, LokiBot

最も古い活動: 2016年

備考: このアクターは、「The Money Team」(略称TMT)の一員であるという強いブランド力を持っています。TMTは「TMT Cakes」や「TMT Travel and Tours Limited」など、複数の合法事業体を抱えているようです。後者は、査証や奨学金に関する情報を提供するナイジェリアの大手旅行会社であると主張しています。これらの事業体は一見、正当な事業を営んでいるように見えますが、同アクターの不正ドメイン登録、マルウェア活動、個人的交友関係から、これらの事業体とその事業内容の正当性は疑わしいものとなっています。例えば、このアクターは、2019年11月にBECスキームでINTERPOLとナイジェリア警察に逮捕されたOnwuka Emmanuel Chidiebere(別名CeeCeeBoss TMT)とOnuegbu Ifeanyi Ephraim(別名SSGToolz)とも友人関係にあります。さらにこのアクターは、Darlington Nduku、Markens Clothing、その他数名のBECアクターとも友人です。

Kennedy Ikechukwu Afurobi

Kennedy Afurobiの写真(SNSより)。オペレーションファルコンで最近逮捕された人物
図7 Kennedy Afurobiの写真(SNSより)。

別名: Chidi Ibeh, Big Boss

ドメイン: このアクターは、wemacreditb[.]com、orionshippingx[.]comfdralgrantagency[.]comなど、97個のドメインに関連付けられています。

マルウェア: Pony, PredatorPain, Azorult

最も古い活動: 2014年

備考: ソーシャルメディアのアカウントによると、彼の好きな言葉は、聖書やラルフ・エマーソン(米国の思想家・哲学者・作家)、マキャヴェリ(ルネッサンス期の政治思想家)からのものです。このアクターは、2019年11月にBECスキームでINTERPOLとナイジェリア警察に逮捕されたOnwuka Emmanuel Chidiebere(通称:CeeCeeBoss TMT)とも友人です。

保護と緩和策

BECの攻撃キャンペーンに対する最大の防御は予防を重視したセキュリティ対策です。私たちは、組織の皆さんに以下のような防止策の実施を推奨します。

  1. ネットワークセキュリティポリシーを見直す。そのさいは従業員が社内ネットワークに接続されたデバイスにダウンロード・オープンできるファイルの種類(PEファイル、マクロを含む文書など)を中心に見る。さらにベストプラクティスとして、URLフィルタリングルールを確立し、特定カテゴリのドメインへのアクセスをデフォルトで制限する。制限すべき特定ドメインは、「Newly Registered(新たに登録されたドメイン)」、「Insufficient Content(不十分なコンテンツ)」、「Dynamic DNS(ダイナミックDNS)」、「Parked(パークドメイン)」、「Malware(マルウェア)」など。
  2. メールサーバーの設定、社員のメール設定、接続ログなどを定期的に確認する。従業員のメール転送ルールを確認し、メールサーバーへの外部からの接続や通常と異なる接続を特定することに注力する。可能ならGeo-IPブロックの導入を検討する。たとえば地方の中小企業が従業員が存在しない国外からのログオンを許可する必要はない。
  3. 社員教育の実施。定期的なサイバー脅威啓発トレーニングはもちろん重要だが、それとはべつにとくに営業部門・財務部門にフォーカスしたカスタムトレーニングも検討すべき。カスタムトレーニングでは、電信送金リクエストは各サプライヤ、ベンダ、パートナーにて指定された特定担当者により、すべて検証されねばならない。
  4. 机上演習(TTX)とリハーサル調査を実施する。そのさいは、エビデンスの入手元を確認し、必要となるエビデンスの種類に不足がないか見極め、適切な当局への報告窓口を確立することを目的とする。さらにこのリハーサルでは、金融詐欺のサイバーキルチェーンをじゅうぶん理解していることを確認し、どの担当者に実施責任があるのかを明確化しておく。
  5. 年1回ないしそれ以上の頻度で侵害評価を実施し、組織の施策を検証し、組織の環境内で発生している不正行為がないかどうか検証する。メールボックスのルールやユーザーのログインパターンを定期的に確認することで、これらの施策が予期された通りに機能しているか、また環境全体で望ましくない行為は効果的にブロックされているかを検証する。

パロアルトネットワークスの製品やサービスにはBECの試行を阻止する機能が複数用意されています。以下、弊社製品をご利用のお客様に向けて、対策の内容をご紹介します。

Cortex XDRロゴ Cortex XDRは、SilverTerrierアクターに関連するすべてのマルウェア、エクスプロイト、およびファイルレス攻撃からエンドポイントを保護します。
WildFireロゴ クラウドベースの脅威分析サービスWildFire®は、これらのアクターが使用するインフォスティーラ、RAT、ドキュメントパッケージ化テクニックに関連するサンプルを正確に識別します。
脅威防御ロゴ 脅威防御は、SilverTerrierアクターが使用する既知のクライアントサイド/サーバーサイド脆弱性のエクスプロイト、マルウェア、コマンド&コントロールインフラに対する保護を提供します。
Advanced URL Filteringロゴ Advanced URL Filteringはこれらのアクターに関連するすべてのフィッシングドメイン、マルウェアドメインを識別し、これらのアクターに関連する新しいインフラが兵器化される前にプロアクティブにフラグを設定します。
AutoFocusロゴ AutoFocus™の脅威インテリジェンスサービスをご利用中のお客様は、次のタグを使用してこれらの攻撃に関連するマルウェアを表示することができます: SilverTerrier

結論

BECのスキームは依然として今日のインターネットで最も収益性が高く、広く蔓延しているサイバー犯罪形態ですが、官民一体での取り組みにより世界規模でこの脅威に立ち向かうたゆみなき努力が続けられています。その好例といえるのが最近行われたナイジェリア警察とINTERPOLとの共同作戦でしょう。これらのオペレーションでは、複数の業界パートナーや6カ国以上の法執行機関からの知見と協力を得て明確な結果を出すことができました。これらの成果には、ナイジェリア国内のBECネットワークの妨害、国際連携の強化、そして最も重要なこととして、数え切れないほどのBECキャンペーンに使用される技術的専門知識、マルウェア、悪意のあるドメインを提供しておきながら、これまで5年以上にわたり訴追を免れてきた11名の関係者の逮捕が含まれています。

パロアルトネットワークスは、2017年にINTERPOLとパートナーシップ契約を結んだ最初のサイバーセキュリティ企業です。このパートナーシップ契約はサイバー空間における犯罪動向その他のサイバー脅威にグローバルに対処するための協力的取組みの基礎となりました。以来このパートナーシップは進化し続けており、今日もパロアルトネットワークスはINTERPOLのゲートウェイプログラム貢献メンバーの一員として、誇りを持っています。

追加リソース

2021 - インターポール オペレーションファルコンII
2021 – マルウェアを使わない大規模クレデンシャルハーベスティング(認証情報詐取)
2020 - インターポール オペレーションファルコン
2020 – 脅威攻撃グループSilverTerrierによる新型コロナウイルスをテーマにしたビジネスメール詐欺の手口
2019 – SilverTerrier: 2019 ナイジェリアのビジネスメール詐欺(BEC)に関するアップデート
2018 – SilverTerrier 2018: ナイジェリアのビジネス メール詐欺(BEC)
2017 – ナイジェリア発ビジネスメール詐欺の台頭
2016 – SilverTerrier: ナイジェリア発サイバー犯罪の次なる進化
2014: 419 Evolution(419の進化)
Mitre: SilverTerrier グループ
Unit 42: ビジネスメール詐欺向けレスポンスサービス
Unit 42: ビジネスメール詐欺への対応準備状況評価

*記事トップの画像はINTERPOL提供の逮捕写真