これは、サイバー犯罪を阻止するために裁判官に頼るテクノロジープロバイダーの一連の動きの最新例に過ぎません。
Googleは、Lighthouseフィッシング・アズ・ア・サービス事業の背後にあるインフラを解体するために、米国裁判所に支援を求めています。これは、テクノロジー企業が法制度を利用してサイバー犯罪に歯止めをかけようとする最新の取り組みです。
それ以上の効果があるかどうかは不明です。
月曜日のブログで、Googleの法務顧問ハリマ・デレイン・プラド氏は、この詐欺の背後にいるグループがGoogleや他のブランドを悪用し、偽のウェブサイトで違法に商標やサービスを表示しているため、裁判所の措置が必要だと述べました。
「私たちは、Googleのブランドを使用したサインイン画面のウェブサイトテンプレートを少なくとも107件発見しました。これらは人々を騙して正規のサイトだと信じ込ませるために特別に設計されています」と彼女は書いています。
Lighthouseサービスへのアクセスを購入した脅威アクターは、正規のプロバイダーからのように見えるブランドを使って、組織の従業員を含む人々にテキストメッセージを送信します。彼らは、このブランドが十分に説得力があり、油断した人がリンクをクリックしてメール認証情報や銀行情報などを共有することを期待しています。
多くの裁判所命令が求められている
Googleの今回の行動は、他のテクノロジー企業、特にMicrosoftや一部の国々が、裁判所を通じて脅威アクターの活動を抑制しようとする動きに続くものです。例えば、9月には、Microsoftが裁判所命令を取得し、RacoonO365の配布に関連する338のウェブサイトを差し押さえました。RacoonO365はMicrosoft 365の認証情報を盗むために使われるフィッシングキットです。同社によれば、2024年7月以降、RaccoonO365のキットは94カ国で少なくとも5,000件のMicrosoft認証情報を盗むために使用されました。
1月には、Microsoftが米国裁判所命令を取得し、複数のテクノロジー企業(自社を含む)の生成AIサービスの安全ガードレールを回避するツールを配布していた海外拠点の脅威アクターの背後にあるウェブサイトを差し押さえました。この脅威アクターのソフトウェアは、公開ウェブサイトからスクレイピングされた顧客認証情報を悪用していました。
また8月には、米国司法省がBlackSuit(Royal)ランサムウェアグループに対する協調的な措置を発表しました。これにはFBIや英国、ドイツ、アイルランド、フランス、カナダ、ウクライナ、リトアニアの国際法執行機関の協力を得て、4つのサーバーと9つのドメインの停止が含まれていました。
しかし、脅威アクターはしぶとい存在です。例えば2020年、Microsoft、Symantec、ESET、通信プロバイダーNTT、Lumen Technologiesなどが協力し、米国裁判所命令を取得してTrickbotボットネットを配布するITインフラのホスティングプロバイダーに対し停止を指示しました。しかし、Huntressの研究者によれば、TrickBotは依然として脅威アクターによるリモートアクセスに利用されています。
Googleのブログではまた、同社が米国議会に対し、「高齢退職者を詐欺から守る(GUARD)法」の採択を促していることも述べられています。この法案は、州および地方の法執行機関が高齢者を標的とした金融詐欺や詐欺の捜査に連邦助成金を活用できるようにするものです。また、「外国ロボコール排除法」は、米国消費者に届く前に外国発の違法ロボコールを最適にブロックする方法に焦点を当てたタスクフォースを設立するものです。さらに詐欺拠点説明責任・動員(SCAM)法は、詐欺拠点に対抗する国家戦略の策定、制裁強化、人身売買被害者支援を目的としています。詐欺拠点とは、大規模な国際犯罪組織が人身売買被害者の強制労働を利用し、サイバー詐欺を行う物理的な拠点です。
Googleは、今回の発表に関するさらなる詳細を得るためのインタビュー要請を拒否し、DeLaine Prado氏のブログ以上に伝えることはないと説明しました。
「影響は最小限にとどまる」
Ed Dubrovsky氏(インシデント対応企業CypherのCOO)は、裁判所の措置の有効性に懐疑的です。フィッシング・アズ・ア・サービス事業は米国内に存在する必要がないため、裁判所命令や法律はスミッシングやフィッシング攻撃にはほとんど影響を与えないだろうと説明しています。
「しかし」と彼は付け加え、「小さな一歩でも大きな影響につながる可能性があり、Googleがこれらの措置を取っている理由かもしれません。」
しかし、今回や同様の裁判所命令は、脅威アクターの行動や、IT部門がサイバーリスクに対応するための管理策の必要性を変えるものではないと彼は述べています。
Kellman Meghu氏(カナダのインシデント対応企業DeepCove Cybersecurityのプリンシパルセキュリティアーキテクト)は、Googleや世界中の他のテクノロジー企業が詐欺を阻止するだけでなく、犯罪的なオンラインサービスを停止できれば訴訟から自らを守るためにも、裁判所や立法機関に目を向けていると考えています。
「現実には、詐欺を行うリスクはほとんどありません」と彼はCSOへのメールで述べています。「何らかの影響を受ける可能性はほぼ現実的でないため、攻撃者は何度でも試し続け、最終的に何かが成功するまで続けられます。国境を越えて影響を及ぼす立法や法的措置が実現すれば、この脅威を減らす上で非常に価値があるでしょう。もし効果的な法律が作れれば、ユーザーへの継続的な攻撃リスクを大幅に減らすことができるでしょう。」
しかし、サイバー犯罪と戦うための世界的な取り組みは、世界中のテクノロジー企業が政府と協力し、サイバー犯罪に関する情報を共有しなければ効果的にはなりません、と彼は付け加えました。
しかし、競合する多くのテクノロジー企業がこの取り組みに参加するとは思えないとも述べています。なぜなら、彼らは自社が競合他社よりも安全で優れていると主張し、より多くのサービスを販売したいという利害関係があるからです。
「詐欺の減少はIT部門の助けになる」
Johannes Ullrich氏(SANS Instituteの研究部長)は、Googleは詐欺師が広告にお金を払い、被害者を偽サイトやマルウェアに誘導するという大きな問題を抱えていると述べています。「これらの詐欺が減少すれば、IT部門にとって大きな助けとなり、ネットワークを守るのが容易になるでしょう」と彼は述べています。
提案されている米国の法案は、詐欺師に対して実質的な新たな障壁を加えるものではありませんが、サイバー犯罪被害者からの苦情で圧倒されがちな州や地方の法執行機関に、より多くの資金を提供することになるだろうと彼は付け加えました。
一方で、ロボコールについては新たな法律がなくても通信事業者がより効果的に対処できると主張し、実際にいくつかの措置が取られていると述べました。
詐欺拠点の問題については、あまりにも流動的で機敏なため、どんな法律でも大きな影響はないだろうと彼は付け加えました。
「挙げられた問題の中で、有料Google広告による悪質なリソースの宣伝が、セキュリティチームにとって最も重大な問題です」とUllrich氏は述べています。「Googleはこれらをブロックする対策を強化し、発生源を法的に根絶する方法を見つけることが、現在の『モグラ叩き』戦術(効果がない)よりも効果的かもしれません。」
