米独など6カ国の警察がサイバー犯罪組織GozNymを解体させたということで話題になっています。
米独など6カ国の警察、サイバー犯罪組織「GozNym」を解体
[ハーグ 16日 ロイター] – 米独など6カ国の警察当局が連携し、1億ドル規模の被害をもたらしていたサイバー犯罪組織「GozNym」を解体したことが明らかになった。
同組織は東欧を中心に活動。フィッシングメールでマルウェアを拡散し、中小企業や慈善団体などを標的にネット銀行口座の情報や預金を盗んでいた。
捜査は2016年に開始。これまでに、同組織のメンバー10人が起訴されている。
出展:https://jp.reuters.com/article/europol-cyber-idJPKCN1SM2GF
ところでGozNymって何なんでしょう? 手口は? 組織の構成は? 調べてまいりましたのでどうぞ。
1.GozNymとは?
GozNymとは? BBCの定義では以下の通りです。
What is GozNym?
It is a hybrid of two other pieces of malware, Nymaim and Gozi.
The first of these is what is known as a “dropper”, software that is designed to sneak other malware on to a device and install it. Up until 2015, Nymaim was used primarily to get ransomware on to devices.
Gozi has been around since 2007. Over the years it has resurfaced with new techniques, all aimed at stealing financial information. It was used in concerted attacks on US banks.
Combining the two created what one expert called a “double-headed monster”.
出展:https://www.bbc.com/news/technology-48294788
NymaimとGoziという2つのマルウェアで構成されるマルウェアです。
マルウェア とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称でコンピュータウイルスやワームなどが含まれます。
悪意のコード、悪意のソフトウェア、悪意のある不正ソフトウェア、有害なソフトウェア、不正プログラムとも呼ばれます。
Nymaimは謂わゆるDropperと言われるソフトでコンピューターウィルスをターゲットとなるデバイスに秘密裏にインストールする役割を持ちます。
2015年くらいまで良くつかわれていたみたいです。
Dropperは、感染したシステムにファイルをインストールまたはデータを改竄するトロイの木馬である。2000年に発見された。 ウイルススキャナーでは検出できないように作られている。別称インジェクタ。
Goziは2007年くらいから出回っているウィルスで銀行などの口座を管理しているDBから預金情報やパスワード、預金者の個人情報などを抜き取るウィルスです。
え、GozNymって犯罪組織じゃないの?と思われたあなたはとても鋭いです。 GozNymとはGozNymソフトを使って銀行から預金などを抜き取る犯罪グループでもあります。
それでは、今からGozNymとはどういうメンバーで構成されていたかを解説させていただきます。
2. GozNymの構成メンバー
GozNymは国際的な犯罪組織でマルウェアを用いて4万以上の銀行口座から約 100億円を盗み取っていました。
犯罪は複数の国で行われ、アメリカ、ブルガリア、ドイツ、ジョージア、モルドバとウクライナの警察当局が協力して捜査を進めていました。
この組織はオンライン上のフォーラムで広告によりかき集められたメンバーで構成されていました。
構成メンバーの内、10名はアメリカのピッツバーグで、アメリカの銀行および海外の銀行口座から預金を盗み、ロンダリングした疑いで逮捕されています。
現在5名のロシア人のメンバーが国際手配中で、その内の1人は、GozNymを開発し、またこの犯罪グループを組織運営し更に他のサイバー犯罪者にGozNymを貸し出しているものと思われます。
更に少なくとも以下の容疑で捜査が進められており、今後も逮捕者が増える予定です。
- 犯罪組織のリーダーとその技術アシスタント、ジョージアでGozNymを用いて銀行口座からお金を盗んだ疑い
- モルドバで犯行を行なった際にGozNymソフトが捜査網にて検出されない様に暗号化した者
- ドイツで資金洗浄に加わった2名
- ブルガリアからアメリカに身柄が引き渡された複数の銀行口座から窃盗を行なった者
4カ国の構成メンバーは既に起訴されておりますが、構成員の全体像がわかるまでにもう少し時間がかかりそうです。
3. GozNymの犯罪の手口
GozNymのリーダーはGozNymがどこから送り込まれたマルウェアなのかわからない様にすることが可能なホストサーバー、マネーミュールとスパマーを用いて41,000以上のコンピューターから被害者の銀行口座に入り込み約100億円を盗み取っていました。
(1)ホストサーバーとは
ホストサーバーはGozNymを標的となる銀行口座開設者に電子メールを送るのに必要不可欠です。
電子メールがどこから送られてきたかわかれば足が着くので、ホストの身分確認が出来ない様にするのです。
(2)マネーミュールとは
マネーミュール(Money mule)とは、犯罪と知らずに不正資金の送金を代行し、資金洗浄に加担してしまう者、またはその手法のことです。 ミュールとは英語でラバを指し、マネーミュールは不正資金の運び屋という意味があります。
(3)スパマーとは
スパムメールを大量に発信する犯罪者のことを指します。 スパムメールを発信するにはEmailアドレスを大量に集めることが必要で、非合法的にそれをやってのける犯罪者が存在します。
被害者はGozNymが添付されたスパムメールを開封しメールのリンク先をクリックしてしまうことでGozNymが起動し、被害者のオンライン銀行口座に関する情報をハッカーに知らない間に渡してしまうのです。
そしてハッカーが銀行口座からお金を抜き取り、マネーミュールに転送。
マネーミュールは転送されたお金が犯罪で入手されたものと知らずに海外に送金します。
そしてその送金されたものを受け取る係はまた別にいる・・・ということでかなりおおがかりな犯罪活動なのです。
被害者は小規模ビジネスのオーナーや弁護士事務所、NPOや国際的な事業をおこなっている会社がほとんどだったとのこと。
イギリスでは毎日二千七百万円の被害がサイバー犯罪で報告計上されているようですが、GozNymの様なマルウェアはネット上でも簡単に手に入れることができるので 個人単位で機密情報や銀行関連情報を重点管理することが必要不可欠です。
4. ネットの声
GozNymって初耳。日本はターゲット外かな?
“サービスとしてのサイバー犯罪”が登場――マルウェア「GozNym」を操るサイバー犯罪ネットワークをユーロポールが摘発https://t.co/0gcq2hvypf
— dɾ¯nsnoɥ (@housu_jp) 2019年5月17日
米司法省とユーロポールが「GozNym」のネットワークを解体したようだ。
「メンバー10人のうち、5人が各国警察の働きにより逮捕されたことで組織は解体。しかし、残りの5名に関してはいまだに逃走中で、FBIは顔写真つきの指名手配書を公開」https://t.co/kHGlprze6G
— 痺れを優先する四川麻婆豆腐 (@hogehuga) 2019年5月17日
フィッシングメールでマルウェアを拡散し、ネット銀行口座の預金を盗み、1億ドル規模の被害をもたらしていたサイバー犯罪組織「GozNym」を解体したことが明らかに。
サイバーセキュリティ対策は大事!
米独など6カ国の警察、サイバー犯罪組織「GozNym」を解体 https://t.co/4NAsrKRFKx
— ジュリー (@yuimalu7) 2019年5月16日
5. まとめ
サイバー犯罪は我々の身近でも発生しているので自衛が必要なことを再認識させてくれる記事でした。
得体の知れないメールは開封せずに削除する方が良いですね。