今週も脅威情報ニュースレターをお届けします。
皆さん、こんにちは。私がサイバーセキュリティの世界に入って間もない頃に学んだことの 1 つが、犯罪は実際に金になるということです。実のところ、かなり儲かります。もしそうでなければ、ランサムウェアカルテルが毎年毎年とんでもない額を荒稼ぎすることはないでしょう。ランサムウェアの被害者は、身代金を暗号通貨(通常はビットコイン)で支払います。犯罪者は、不正に入手したビットコインを銀行システムに投入し、問い質されることなく自由に使えるようにする必要があります。
簡単そうに思えても、実際にはそれほど簡単ではありません。そう知っても驚かないかもしれませんが、これは新しい問題というわけでもないのです。1980 年代、南米の麻薬カルテルも同じ問題に直面していました。麻薬カルテルは莫大な利益を得ており、現金の山を抱えていました。しかし、大枚をはたいて突然高額な買い物をするようになったら、当然法執行機関の目を引いてしまいます。さらに、汚職官僚を買収する手段として最も好まれたのが現金だったこともわかっています。そこで、麻薬カルテルは法律や銀行制度の抜け穴を見つけ出し、米国やその他の国々における評判のよろしくない金融慣行を利用して、不正に得た資金を合法的な銀行システムに投入して自由に使えるようにしました。
この手法はマネーロンダリング(資金洗浄)と呼ばれるものであり、組織犯罪を成功させているあらゆる組織の中核をなしています。マネーロンダリングの基本プロセスは、プレイスメント、レイヤリング、インテグレーションの 3 段階に分かれています。
- プレイスメント:不正資金を金融システムに投入します。
- レイヤリング:資金を何度も移動して追跡を難しくし、犯罪に結びつけられないようにします。
- インテグレーション:これで犯罪とのつながりが不明になるので、資金を自由に使えます。投資してもいいし、高級車を買ってもいいし、使い道は自由です。犯罪で得た資金は、別の誰かの手に渡っています。以前は「フェラーリのディーラーは暗号通貨なんか受け付けない」と冗談を言っていたのですが、それが仇となって返ってきました
。今では、暗号通貨を直接の支払い手段として受け入れる企業が増えているようです。
ランサムウェア攻撃の犯罪について考えるときは、被害者に影響が出る瞬間に注目しがちですが、その逆の側面、つまり、支払われた身代金がカルテルやその関連者に流れていくという点についてはあまり考えません。暗号通貨はマネーロンダリングにとって理想的です。規制が大きく遅れており、匿名性が高く、ミキシングによる資金洗浄が可能です。また、DEX(分散型取引所)に送金すれば、KYC(本人確認手続き)や AML(マネーロンダリング対策)の規制は適用されません。
なぜこの話をしているかと言うと、マネーロンダリングのインフラを法で取り締まることが実に効果的だからです。犯罪者が資金を洗浄できないようにすれば、犯罪そのものを抑制できます。結局のところ、資金を不正に得たとしても、使えなければ意味がありません。
私が懸念しているのは、規制環境が変化したことで、マネーロンダリングが容易になるのではないかということです。時間が経てば答えは出るでしょうが、予感が的中しないことを願っています。
重要な情報
私は巧妙な回避戦術について知るのが大好きです。スパムメールでカスケーディング スタイル シート(CSS)を利用した回避戦術は、まさに鮮やかなトリックだと言えます。相手の考えを読むことが重要で、これは本当にスマートなやり方だと思います。スパムフィルタと攻撃者の間では、絶えずいたちごっこが繰り広げられています。攻撃者は常に巧妙な手口を編み出し、被害者を狙っているということです。
注意すべき理由
スパムメールは、特に企業のメールセキュリティにおいて巨大な脅威となっています。スパムフィルタをすり抜けるように細工したスパムメール攻撃には注意が必要です。
必要な対策
知ることが戦いの半分です。メールの防御を見直し、強化する時が来ています。メールの脅威に対する防御を強化できるよう、メールプロキシサービスなどをご検討ください。
今週のセキュリティ関連のトップニュース
空港システムが停止:マレーシア首相、1,000 万ドルの身代金要求を拒否したと発表(情報源:The Record)
衛星運用の安全対策:ENISA(欧州ネットワーク情報セキュリティ庁)が商業宇宙資産のセキュリティガイドを発表(情報源:ENISA)
ワンクリックフィッシング攻撃:Google、APT グループに悪用された Chrome のゼロデイ脆弱性を緊急修正(情報源:Dark Reading)
Talos が発信している情報
- 今月のセキュリティ更新プログラムの詳細については、こちらのブログをご覧ください。
- さらに、Talos の『一年の総括』2024 年版が 3 月 31 日(月)にダウンロード可能になりますので、どうぞお見逃しなく。
Talos が参加予定のイベント
- RSA(2025 年 4 月 28 日~ 5 月 1 日)カリフォルニア州サンフランシスコ
- PIVOTcon(5 月 7 日~ 9 日)スペイン、マラガ
- CTA TIPS 2025(2025 年 5 月 14 日~ 15 日)バージニア州アーリントン
- Cisco Live U.S. (2025 年 6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5:ff1b6bb151cf9f671c929a4cbdb64d86
VirusTotal:https://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
一般的なファイル名:endpoint.query
偽装名:Endpoint-Collector
検出名:W32.File.MalParent
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details%C2%A0
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
本稿は 2025 年 3 月 27 日にTalos Group
Authors