Microsoftは水曜日、国際的な法執行機関と連携して、サイバー犯罪のサブスクリプションサービス「RedVDS」の運営に使用されていたインフラを差し押さえ、さらなる利用を妨害するために米国および英国で民事措置を起こしたと発表した。
Microsoftによると、RedVDSは2025年3月以降、米国で少なくとも4,000万ドルの詐欺被害を発生させている。民事訴訟でMicrosoftと共同原告として参加している被害者には、730万ドル超の損失を被ったアラバマ州拠点の製薬会社H2 Pharmaや、約50万ドル近くをだまし取られたフロリダ州拠点のGatehouse Dock Condominium Associationが含まれる。
「月額わずか24米ドルで、RedVDSは犯罪者に、詐欺を安価で拡張可能にし、追跡を困難にする使い捨ての仮想コンピューターへのアクセスを提供します」と、Microsoft Digital Crimes Unitのアシスタント・ジェネラル・カウンセルであるスティーブン・マサダ氏はブログ投稿で述べた。「Windowsを含む未ライセンスのソフトウェアを実行する、安価で効果的かつ使い捨ての仮想コンピューターへのアクセスを提供し、犯罪者が迅速に、匿名で、国境を越えて活動できるようにします。」
Microsoftは、Europolおよびドイツ当局との共同作戦によりRedVDSのインフラを差し押さえ、マーケットプレイスをオフラインにしたと述べた。サイバー犯罪者は、ロイヤルティプログラムや顧客向けの紹介ボーナスを備えたこのサイトを利用して、大量のフィッシング攻撃を送信し、詐欺のためのインフラをホストし、ビジネスメール詐欺(BEC)などの不正行為を助長していた。
RedVDSのツールとサービスの影響を受けた中にはMicrosoftの顧客も含まれていた。
「2025年9月以降、RedVDSを利用した攻撃により、世界中の13万を超える組織にまたがる19万1,000件以上のMicrosoftメールアカウントが侵害、または不正アクセスを受けました」とマサダ氏はブログ投稿で述べた。「これらの数字は、あらゆるテクノロジープロバイダーにおける影響アカウントの一部にすぎず、このインフラがいかに急速にサイバー攻撃の規模を拡大させるかを示しています。」
マサダ氏はさらに、1カ月の間に2,600台以上のRedVDS仮想マシンが、Microsoftの顧客に対して1日平均100万通のフィッシングメッセージを送信したと付け加えた。
RedVDSは、ビジネスメール詐欺を通じて、H2 PharmaやGatehouse Dock Condominium Associationのような組織に対する支払い転送詐欺を助長した。Microsoftによると、このマーケットプレイスは、不動産業者、エスクロー担当者、タイトル会社のアカウントを侵害して支払いを迂回させる目的にも使用されていた。
カナダやオーストラリアの顧客を中心に、9,000人以上の顧客がRedVDSに支援された不動産関連詐欺の直接的な影響を受けた。Microsoft Threat Intelligenceは、RedVDSによって可能になった他の詐欺が、建設、製造、医療、物流、教育、法務サービスの各分野の組織を標的にしたと述べた。
研究者らは、このマーケットプレイスのユーザーインターフェースには、意欲的なサイバー犯罪者が未ライセンスで安価なWindowsベースのリモートデスクトッププロトコル(RDP)サーバーを、完全な管理者権限付きで購入できるようにする機能が多数搭載されていたと述べた。RedVDSはサービス全体で単一のクローン化されたWindowsホストイメージを再利用しており、これにより研究者は固有の技術的フィンガープリントを見つけることができた。
RedVDSを開発・運用するグループは、MicrosoftによってStorm-2470として追跡されている。Microsoft Threat Intelligenceによると、10月にテイクダウンされる前にRacoon0365フィッシングサービスを利用していた少なくとも5つの追加のサイバー犯罪グループおよびサイバー犯罪者も、RedVDSのインフラを使用していた。
RedVDSのサイトは2019年に初めて立ち上げられ、米国、英国、カナダ、フランス、オランダ、ドイツのサーバーを提供しながら運用を継続してきた。研究者らは報告書の中で、このマーケットプレイスは「過去1年でサイバー犯罪者にとって多産なツールとなり、認証情報の窃取、アカウント乗っ取り、大規模フィッシングを含む数千件の攻撃を助長している」と述べた。
RedVDSは、米国、カナダ、英国、フランス、オランダの少なくとも5社のホスティング企業を含む第三者のホスティングプロバイダーからサーバーを借りていた。研究者らは、これによりRedVDSは標的に近い地理的位置にIPアドレスを割り当てることができ、サイバー犯罪者が位置情報ベースのセキュリティフィルターを回避し、通常のデータセンターのトラフィックに紛れ込むことが可能になったと付け加えた。
「今日のサイバー犯罪は共有インフラによって支えられており、個々の攻撃者を妨害するだけでは不十分です」とマサダ氏は述べた。「この協調行動を通じて、MicrosoftはRedVDSの運用を妨害しました。これには、RedVDSのマーケットプレイスと顧客ポータルをホストする2つのドメインの差し押さえが含まれると同時に、その背後にいる個人を特定するための基盤も整えました。」
翻訳元: https://cyberscoop.com/microsoft-seizes-disrupts-redvds-cybercrime-marketplace/
