犯罪の対象は世界各国の金融機関で、約2年間で被害額は10億ドルにのぼるという。専門家は、多国籍サイバー犯罪者集団による犯罪と報告、組織のメンバーは、ロシアやウクライナほか、欧州諸国や中国にもいるものと見られる。
今回のサイバー強盗を実行したのは犯罪者集団「Carbanak」(カーバナック)で、標的型攻撃の手法を使ったことから、金融機関を狙ったサイバー犯罪活動が新たな段階に入ったことを示している。つまり、標的が金融機関の利用者から銀行自体になり、直接攻撃して金銭を窃取し始めたのだ。
Carbanak 感染の形跡のイメージ |
Carbanak は、2013年から、世界30か国の100の銀行、電子決済システム、そのほかの金融機関に攻撃を仕掛けている。Kaspersky Lab のデータによると、Carbanak の標的は、ロシア、米国、ドイツ、中国、ウクライナ、カナダ、香港、台湾、ルーマニア、フランス、スペイン、ノルウェー、インド、英国、ポーランド、パキスタン、ネパール、モロッコ、アイスランド、アイルランド、チェコ共和国、スイス、ブラジル、ブルガリア、オーストラリアの金融機関。
被害額は銀行ハッキング史上最高だそうで、1度の攻撃で最大1,000万ドルが盗み出された、と推定されている。銀行の内部ネットワークのコンピュータを感染させてから現金を盗み去るまでの期間は、平均2〜4か月。
手口はこうだ。
Carbanak は、まず、スピア型フィッシングメールで銀行職員のコンピュータに Carbanak マルウェアを感染させる。それから行内ネットワークに侵入、管理者のコンピュータを探し出してビデオで監視し、送金システム担当者の画面を目視、記録できるようにした。その後、それを模倣して送金や引き出しを行っていた。