「センチネル作戦」により、6種類のランサムウェアの復号、数千の悪意あるWebサイトへのリンク遮断、そして数百人の逮捕に至った。
ランサムウェアの専門家は、アフリカで最近行われたサイバー犯罪者への取り締まりについて、6種類のランサムウェアの復号、悪意あるWebサイトへのリンクの破壊、そして数百人の逮捕につながった大きな行動だとして称賛した。
「これはLockBitの摘発と同じ見出しにはならないかもしれませんが、重要だと思います」と、Analyst1のチーフ・セキュリティ・ストラテジストで、ランサムウェア・ギャング追跡に関する近刊書の共著者でもあるJon DiMaggioは述べた。「法執行機関はロシアのランサムウェア犯罪者を逮捕できないため、差を生み、人を確保できる世界の地域に焦点を当てるのは賢明です」
彼は、今年10月27日から11月27日まで実施された「センチネル作戦」において、アフリカ19カ国の法執行機関が容疑者574人を逮捕し、6種類のランサムウェア亜種を復号し、6,000件の悪意あるリンクを無効化し、大手石油会社に約790万ドルの損失をもたらしかねなかったビジネスメール詐欺(BEC)を解明し、約300万ドルを回収したとする、インターポールの本日の声明についてコメントしていた。
インターポールは、復号されたランサムウェアの系統を特定しなかった。DiMaggioは、それらはダークウェブのサイトで入手可能な系統の改変版だったのではないかとみている。
拡大する前にギャングを妨害することが重要
作戦の説明において、インターポールは複数国での取り組みを挙げた。ガーナでは、100TBのデータが暗号化されたとされる匿名の金融機関が被害者の一つだったという。ガーナ当局は高度なマルウェア解析を実施し、それが復号ツールの作成と、約30TBのデータ回復につながった。
ガーナ当局はまた、ガーナとナイジェリアにまたがって活動し、200人超の被害者から40万ドル超をだまし取っていた大規模なサイバー詐欺ネットワークも解体した。詐欺師らは、プロが設計したWebサイトやモバイルアプリを用いて有名ファストフードブランドを模倣し、支払いを回収しながら注文は一切届けなかった。ガーナで容疑者10人が逮捕され、デジタル機器100台超が押収され、詐欺用サーバー30台がオフライン化された。
ベナンでは、悪意あるドメイン43件が停止され、恐喝スキームや詐欺に関連するSNSアカウント4,318件が閉鎖され、106人の逮捕につながった。またカメルーンでは、オンライン車両販売プラットフォームを悪用した詐欺を2人の被害者が報告した後、法執行機関が迅速に対応した。フィッシング・キャンペーンは侵害されたサーバーに行き着き、緊急の銀行口座凍結が数時間以内に発令された。
「非常に良いこと」
同じ作戦でランサムウェアの活動とビジネスメール詐欺(BEC)の活動の双方を断ち切ったことは「ユニーク」だとDiMaggioは述べた。というのも、多くの人はアフリカをBECや詐欺の発信源と捉えているからだ。
当局が、アフリカにおけるランサムウェアの活動が世界の他地域のギャングが運営する規模にまで成長する前に妨害しようとしていることは「非常に良いこと」だと彼は言う。アフリカは「ロシアのランサムウェア界隈がいる地点より数歩遅れている」ため、より大きくなる前の今の段階でギャングを標的にすることが重要だという。
BEC活動の摘発も重要かもしれないと彼は付け加えた。総体として見ると、世界中の犯罪者はランサムウェアよりもビジネスメール詐欺からより多くの金を得ているとDiMaggioは述べた。
センチネル作戦は、今年アフリカで実施された2回目の大規模なサイバー犯罪対策作戦だ。8月には、インターポールが「セレンゲティ作戦」第2段階を発表しており、1,209人の逮捕、11,400超の悪意あるITインフラの解体、そして9,700万ドル強の回収が行われた。この作戦でも、ランサムウェア、オンライン詐欺、BEC詐欺など影響の大きいサイバー犯罪に対処した。
その他の法執行の取り組み
これらの作戦は、2025年に世界的に脅威アクターに対して行われた重要な動きの一部だった。
ユーロポールが調整する継続中の国際的な対ボットネット取り組み「エンドゲーム作戦」では、Smokeloaderのペイ・パー・インストール型ボットネットに加入していた脅威アクターを追跡し、ランサムウェア配布に用いられるマルウェアの背後にある約300台のサーバーを停止し、さらに11月には、RhadamanthysインフォスティーラーおよびVenomRATリモートアクセス・トロイの木馬の実行基盤であるElysiumボットネットを含む1,025台のサーバーを停止または機能妨害した。
別件として、米国、フィンランド、オランダの当局はAVCheckの停止に向けて連携した。AVCheckは、世界中の犯罪者に利用されている最大級の対アンチウイルス・サービスの一つだ。
さらに、米国、英国、カナダ、オーストラリア、ニュージーランドで構成されるファイブ・アイズの情報共有グループは、複数国の重要インフラを攻撃している脅威アクターを中国が支援していると非難し、一方でマイクロソフトは裁判所命令を得て、別のインフォスティーラーであるLumma Stealerの配布に関与する2,300のドメインを差し押さえ、ブロックできるようになった。
関連コンテンツ:機能するランサムウェア対策プレイブックの作り方
厳しい戦い
インシデント対応企業Cypferの最高執行責任者であるEd Dubrovskyは、6種類のランサムウェア系統を断ち切ったことは良いニュースだと述べた。しかし彼は、サイバー犯罪産業はこれまで以上にデータ暗号化よりもデータ窃取に注力しており、場合によっては窃取後のデータ破壊にも及んでいると付け加えた。
「サイバー犯罪に対する法執行の行動は極めて重要です」と彼は付け加えた。「一定の抑止がなければ、金銭的な[観点での]見返りやその他の動機を踏まえると、サイバー犯罪ははるかに蔓延し、影響も大きくなっていたでしょう。
「とはいえ、サイバー犯罪はいまだに数十億ドル規模の市場であり、法執行機関は資源が限られ、適切な継続的訓練も不足しています。米国のように高度さと有効性の面で他国より大きく先行している国もありますが……法執行は部分的に、そしてサイバー犯罪の非常に特定の領域では有効である一方、他の領域では有効性がまだ発展途上です」
一部の脅威アクターは優れたIT専門性を持ち、AIを活用しているとも彼は述べた。「したがって、法執行機関はサイバー犯罪削減に大きな影響を与えつつも、厳しい戦いを強いられていると私は考えます」
攻撃者は世界規模で活動を拡大する可能性
カナダの大学教授で、国家安全保障、サイバー犯罪、マネーロンダリングの専門家であるChristian Leuprechtは、アフリカの人口は今後25年で倍増する見込みであり、あらゆる大陸の中で最も若い人口構成を持つと指摘した。 世界でも特に政治的・経済的・社会的に持続可能性が低い国々の一部において、高い革新性と高度化が進む労働力が組み合わさることで、経済的な生存と繁栄を求める高度なローカル脅威アクターが多数生まれ、潜在的に世界規模の影響力を持つ可能性が高いという。
現時点では、攻撃や搾取に対する耐性が低い可能性があるため、ローカルの標的を狙っているのだろうと彼は述べた。しかし、現地企業がサイバー防御を強化していくにつれ、アフリカ拠点の脅威アクターは世界的に活動を拡大せざるを得なくなるという。
彼らが世界規模になるのを防ぐには、これらの脅威アクターに対する、より多く、より良く、そして先回りしたローカルでの妨害・法執行能力が不可欠だと彼は述べた。
「アフリカ全域でのサイバー攻撃の規模と高度化は加速しており、特に金融やエネルギーといった重要セクターが狙われています」と、インターポールのサイバー犯罪部門ディレクターであるNeal Jettonは声明で述べた。「センチネル作戦の成果は、国際パートナーと緊密に連携しながら活動するアフリカの法執行機関のコミットメントを反映しています。彼らの行動は、人々の生計を守り、機微な個人データを保護し、重要インフラを維持することに成功しました」
センチネル作戦では、法執行機関のリソースが用いられただけでなく、Team Cymru、The Shadowserver Foundation、Trend Micro、TRM Labs、Uppsala Securityなどのサイバーセキュリティ企業の支援も受けた。
翻訳元: https://www.csoonline.com/article/4111324/interpol-sweep-takes-down-cybercrooks-in-19-countries.html
