Trickbot グループにマルウェアを提供した罪でラトビア人女性が起訴される

米国司法省 (DOJ) は、「Max」という名前で活動していた 55 歳のラトビア人女性をマルウェア作成の罪で起訴したと発表しました。

Max (本名 Alla Witte) は、CC8 から CC17 までの匿名の人物 10 人とともに司法省の起訴状に記載されていた 7 人の被告のうち 6 番目の人物です。(CC は co-conspirator (共謀者) の略です。)

現時点では、他の 6 人の被告の名前は文書から削除されており、名前が公表されているのは Witte だけです。

(2020 年 8 月に提出された起訴状では Witte は「ロシア国籍」とされていましたが、司法省の最新のプレスリリースの見出しではラトビア人とされています。)

Witte は犯行当時、南米のスリナムに住んでいたようですが、2021 年 2 月にフロリダ州のマイアミで、おそらく米国に入国しようとしたところを逮捕されました。

標準的な書式で 61 ページにおよぶ起訴状では、司法省が「サイバーギャング」と呼ぶ Trickbot グループが、2015 年後半から 2020 年半ばまでの 5 年間にどのように運営され、発達したかについて詳しく語られています。

また、起訴状には 11 社の米国企業を標的とした金融詐欺未遂事件のリストも記載されています。この 11 社は Trickbot グループによる犯罪行為の性質と程度を立証するための「協力的な証人」として名乗りを挙げました。

この 11 社に対して試みられた不正取引だけでも総額 620 万ドルに上りますが、司法省によると Trickbot マルウェアは世界中の何百万台ものコンピュータに広く感染し、個人や企業、および病院、学校、公共施設や政府などを含む組織を襲ったとのことです。

トロイの木馬、ゾンビ、ワーム

Trickbot は、いわゆるバンキング型トロイの木馬として最もよく知られています。これは被害者が金融取引を行っているときにコンピュータに入力された個人情報を盗み出し、口座に不正にアクセスするマルウェアです。

しかし、Trickbot はその名が示すようにボット、あるいはゾンビとしても機能します。ボットとは次の行動の指示を得るため攻撃者が運営するサーバーに定期的に通信を行うマルウェアを指します。

また、Trickbot はネットワーク上の他のコンピュータを探して感染させ、ウイルスワームのような能力により感染範囲を拡大し、収益性を高めていました。

ご存知のように、ほとんどのボットやゾンビには、別のマルウェアをインストールさせ実行する機能があります。Trickbot グループはこの「機能」を特に利用して、既に Trickbot に感染したデバイスを銀行口座の情報収集だけではなく被害者のネットワーク上でランサムウェア攻撃を実行するためにも活用していました。

起訴状によると、Trickbot グループは以下のことを共謀した罪で告発されています。

  • オンラインバンキングのログイン認証情報を取得するため、被害者のコンピュータに Trickbot マルウェアを感染させたこと。
  • クレジットカード番号、電子メールアドレス、パスワード、生年月日、社会保障番号、住所などの個人識別情報を取得・収集したこと。
  • 被害者のコンピュータとネットワークで繋がっている他のコンピュータに感染を広げたこと。
  • 取得したログイン情報を使用して、金融機関のオンライン口座に不正にアクセスしたこと。
  • 被害者の銀行口座から資産を盗み、共謀者が提供・管理する米国内外の銀行口座を利用してマネーロンダリングを行ったこと。
  • 被害者のコンピュータにランサムウェアを感染させたこと。

上記の活動のうち Witte はゾンビ化した Trickbotコンピュータを使ってランサムウェアを実行し、攻撃を開始することに特に関与していたと言われています。

起訴状によると、彼女はごく最近、2018 年の後半に Trickbotグループに加入したとのことです。

Witte は主に「ランサムウェアモジュール「Trickbot」を運用・展開するためのコードを Trickbot グループに提供した」とされています

また、彼女は「データベースに保存されている被害者のデータにアクセスするためのウェブパネルの (中略) コードを提供した」とも言われています。このウェブパネルを通じて Trickbot グループの他のメンバーはTrickbot ボットネット内で現在活動しているゾンビを検索したり、感染した被害者から盗まれたクレジットカード情報などのデータにアクセスしていました。

対策

  • 業務を委託されたプログラマーの方は、目的の詳細が不明なコーディングの仕事を引き受けないようにしてください。本来すべきでない、そしておそらくはしたくもない仕事に巻き込まれてしまう可能性があるからです。(起訴状には、Trickbot の共謀者たちが求人サイトへの掲載を禁止されないよう、真っ当な「求人広告」への偽装を試みた過程が詳細に記されています。)
  • 在宅ワークをしたいと考えている方は、身元がはっきりしない会社に履歴書 (レジュメ) を提出したり、求人票に記入したりしないでください。 Trickbot グループのような犯罪者グループは、資金の出所についてあまり疑問を持たずに個人の口座で資金を管理してくれる「アシスタント」を頻繁に募集しています。この「アシスタント」は軽蔑の意を込めて「マネーミュール (お金を運ぶラバ) 」と呼ばれており、このような行為で逮捕された場合、ほぼ確実にお金を失うだけでなく、実刑が課される可能性もあります。
  • 従来のマルウェアのブロックだけでなく、ネットワークフィルタリングやエクスプロイト防止機能を備えたアンチウイルスソフトの利用を検討しましょう。Trickbot のようなマルウェアは、新たな指示を求めて定期的に Web 上で通信を行ったり、データを盗むためにブラウザなどのソフトウェアに積極的に干渉したり、ネットワーク上で自分自身をコピーしようとするなど、さまざまな手法を用いて動作します。多層防御と呼ばれる機能を持つセキュリティソフトウェアは、これらのあらゆる手口からお客様を守り、サイバー脅威を発見してブロックする複数の方法を提供します。