日常の一コマ

STAR攻撃調査チーム   サイバークライムファイターの戦い

ここではSTARの攻撃調査チームに所属する、脅威インテリジェンスアナリスト主席のGavin O'Gormanにとって、日常の仕事の一コマを紹介します。――いつも通り、Gavinはアイルランドのダブリンにあるセキュリティレスポンスセンターで、サイバー脅威を追跡する世界地図が表示されたモニターの前で仕事をしています。世界地図上では赤い点が点滅しており、リアルタイムで重大なサイバー脅威が発生していることを示します。ユーロポール、FBI、シークレットサービスなどの法執行機関と緊密に連携をとりながら、Gavinと卓越したスキルのセキュリティアナリスト集団である彼のチームは、何百ものサイバー犯罪グループを監視し続け、それらに関する情報を収集しています。

今日のターゲットは、ボットネット(コンピューターに侵入して銀行やソーシャルメディアのパスワードなどの情報を盗み出すために使用される、悪意のあるソフトウェアのネットワーク)を裏で操る犯罪者たちです。

デジタル世界の探偵

Gavinは、データアナリストから世界中でコンピューターの感染が急増していることを示され、何かが起こっていることを察知します。そのとき、彼はすぐに疑いを抱きました。彼が調査しているのはRamnitと呼ばれる特定の型のボットネットで、パスワードを盗んで銀行口座を空にしてしまうことで知られる、悪名高い危険な脅威です。「このボットネットは、フィッシングメールやソーシャルネットワークサイトを介して送信される、いかにも信頼できそうなリンクを通してマルウェアを拡散させます」と、Gavinは語っています。

「一見害のなさそうなURLをユーザーがワンクリックしただけで、マルウェアがインストールされます。そこからコンピューターはハッカーの制御下に入り、個人情報にアクセスされ、パスワードを盗まれ、ウイルス対策保護は無効化されてしまいます」

彼のモニターに表示される赤い点の1つ1つが、感染したコンピューターの場所を表しています。彼はこのデータを使用して、IPアドレスを取得し、感染したコンピューターがさまざまな国に配置された攻撃者のC&C(コマンドアンドコントロール)サーバーへの接続に使用されている状況を検知します。犯罪者たちは、こうした特殊なC&Cサーバーを使用して攻撃を実行するのです。

さらに調査を進めると、これらのサーバーからのコマンドは1日のうちの特定の時間帯に発行されることが判明しました。

「これは重要な情報です。なぜなら、ボットネットを制御している本拠地の可能性がある場所を示しているからです」とGavinは言います。

パズルのピースが揃ったところで、これらをすべて合わせて脅威の全貌をつかみます。こうした技術的な手がかりと、Ramnitの背後にあるインフラストラクチャが存在する場所に関係するデータを用意し、Gavinはこのセキュリティ上の情報を欧警察機構のサイバー犯罪センターと共有して捜査します。