インターポールによると、アジアおよび南太平洋のサイバー犯罪に対する各国執行機関およびサイバーセキュリティ企業との共同作戦で今年1月から4月にかけて情報窃取に関与していたIPアドレスやドメイン計2万件以上を削除したということです。
法執行機関とサイバーセキュリティ企業が連携
この作戦は日本、韓国、香港、マカオ、インド、カンボジア、ラオス、マレーシア、フィリピン、タイ、ベトナムなど26の法執行機関にサイバーセキュリティ企業のGroup-IB、カスペルスキー、トレンドマイクロの3社が協力して行われたということです。41台のサーバーと100GBを超すデータを押収しサイバー犯罪に関与した容疑者計32人を逮捕したということです。
この結果、悪質なIPアドレスやドメインが2万件以上削除され、トレンドマイクロによるとこれはアジア太平洋地域における不審なIPアドレスの79%に相当するということです。削除されたIPアドレスの多くはVidar、Lumma Stealer、Rhadamanthysなどの情報窃取型マルウェアに紐づいていたようです。トレンドマイクロによるとVidarは2018年以降、稼働が確認されているMaaS(Malware-as-a-Service)として使われているマルウェアで、ブラウザの認証情報やCooki、暗号資産ウォレットなどの機密データを外部に送信する機能があるということです。また、Lummaは急速に拡大しているMaaSで、今年もっとも活発な情報窃取型のマルウェアです。Rhadamanthysは2022年後半に初めて観測された高度な情報摂取型マルウェアでフィッシングや偽のインストーラー、海賊版ソフトウェアなどを通じて配布されるということです。暗号化された通信チャンネルを介してデータを外部に送信しているようです。
OFACはIPアドレス販売の中国系企業を制裁指定
今回のインターポールの作戦と関連があるのかよくわかりませんが、これとは別にアメリカの財務省外国資産管理局(OFAC)はIPアドレスを大量に購入してサイバー犯罪者に販売していた企業を制裁指定しました。この会社が販売したIPアドレスは暗号資産投資詐欺のプラットフォームや悪質なコンテンツをホストするために広く使われていたということです。この会社はフィリピンを拠点としている中国系の企業とみられ、2024年2月にオープンソースのJavaScriptライブラリ、Polyfill.ioを買収した企業と同一とみられます。ちなみにこの企業の買収後、Polyfill.ioからマルウエアが配信されるサプライチェーン攻撃が行われたことから、ドメインレジストラがドメインを停止した経緯があります。
米OFACによると、この中国系とみられる企業は購入したIPアドレスにドメイン生成アルゴリズム(DGA)を使ってドメイン名を生成していたということです。ドメイン生成アルゴリズムとはランダムにドメイン名を生成するプログラムで、サイバー犯罪者はこのプログラムを使ってマルウェアに指令するコマンド&コントロールサーバーの特定を回避しようとします。逆に防御する側にとっては不正な通信を発見しても捕捉することが難しくなるということです。アジア・太平洋地域における大規模な不正IPアドレス摘発の背景には、東南アジアでのサイバー犯罪の拠点構築とそれら犯罪拠点から発信されている様々なサイバー犯罪があり、それらは私たちの身近に起きているフィッシングやスミッシングなどと決して無関係ではないのです。
【出典】
https://www.trendmicro.com/ja_jp/research/25/f/interpol-operation-secure.html
https://home.treasury.gov/news/press-releases/sb0149
https://unit42.paloaltonetworks.com/ja/threat-brief-understanding-domain-generation-algorithms-dga/