世界100の金融機関から、なんと10億ドルもの大金を盗んだ犯罪者集団がいます。「Carbanak(カーバナック)」というこの集団は、多国籍サイバー犯罪者集団とされ、高度に組織化されています。彼らの攻撃は2013年から確認されています。Carbanakが関わる事件の特徴は、標的型攻撃により銀行から直接金銭を盗み取ることです。銀行に金銭を預ける利用者の口座を狙う犯罪者が多い中、大胆にも彼らは金融機関を直接狙うのです。
彼らの攻撃手法はパターン化されています。スピア型フィッシングメールにより銀行のコンピュータにCarbanakマルウェアを感染させます。行内ネットワークに侵入し、管理者のコンピュータを探し出して、ビデオで監視します。送金システム担当者の画面で行われている操作・情報を記録し、その操作を模倣して送金や引き出しを行うというものです。最近の攻撃活動では、ミラードメインにホストされたオフィス文書を利用して、Carbanakマルウェアを感染させていました。2016年7月にComodoからマルウェアを使用するための適切な署名を取得すると、ロシアのペーパーカンパニー2社を利用し、架空の会社のURLとウェブサイトを使用していたということです。スクリプトには「Google Sheets」や「Google Forms」など、Google Docsを使用していました。ソーシャルメディアを使った背景情報の調査も相待って、人間の心理に漬け込んだサイバー強盗が可能になったのでしょう。
ある調査があります。Carbanakの悪意ある304のドメインの多くがアメリカや中国のコンタクト番号に登録されています。そうした中、ロシアの都市・ペルミのArtyom Tveritinovの同じコンタクト番号にcubehost.bizが登録しました。するとcubehost.bizがロシアのセキュリティファームである“InfoKube”にリンクしたのです。InfoKubeはCarbanak攻撃への関わりは否定していますが、InfoKubeのCEOであるArtyom Tveritinovは全てのソーシャルメディアアカウントを削除しています。ところが、後に70人の共謀者が存在し、Carbanakのグローバルインフラに効果的に配置されていたことが判明しています。
Carbanakによる銀行への被害は凄まじいものになります。直接的なドル損失もあれば、信用や信頼、株価に対しても悪影響を与えます。銀行の評判に損害が生じることになります。CarbanakはGoogle Docsなどの信頼されたオンラインWebサービスを使用し、通常プロトコルの利用により検知を避けるという、近代的な戦略をもってサイバー強盗に至りました。では、こうした新しいセキュリティ侵害に対し、企業はどのようなセキュリティを運用すれば良いのでしょうか。