This is the Trace Id: 4fc80f391f74da49488f37d59ee80dea

勇敢なアクションで詐欺に対抗: Storm-1152 を打ち破る

共有
色とりどりの円が並び、さまざまなアイコンが描かれています。

概要

2023 年 3 月、Microsoft の大手のお客様が、一連のスパムによるサイバー攻撃を受け、その結果、お客様のシステムに障害が発生しました。

その原因は、Microsoft Outlook と Hotmail のアカウントが不正に大量に作成され、これらを使って見込みユーザー向けにテスト試用版として提供された顧客サービスのメリットを享受しようとしたことです。これらの偽アカウントは、そのサービスの料金を支払う意図がまったくありませんでした。その結果、このお客様は Microsoft Outlook と Hotmail アドレスからの新規アカウント登録をすべてブロックすることになったのです。

実際、この攻撃の背後にいたのは、ベトナムを拠点とする大規模な詐欺企業でした。このグループは、Microsoft が Storm-1152 と呼んでいます。

Storm-1152 は悪質な Web サイトやソーシャル メディア ページを運営し、広く知られた各種テクノロジ プラットフォーム上の ID 検証ソフトウェアを迂回するための不正な Microsoft アカウントやツールを販売しています。Storm-1152 のサービスを利用することで、犯罪者はオンラインで多くの犯罪行為や不正行為を行うために必要な時間と労力を削減できるため、サイバー犯罪へのゲートウェイとして機能します。このグループは合計で約 7 億 5,000 万件の不正な Microsoft アカウントを作成して販売し、莫大な収益を不正に得ただけでなく、犯罪行為と戦う企業にそれ以上のコストの負担を強いています。

複数のグループが Storm-1152 のアカウントを使ってランサムウェア、データ窃盗、恐喝を行っていたことが判明し、これには、Octo TempestStorm-0252、 Storm-0455 などが含まれます。そのアカウント販売ビジネスにより、このグループはオンライン最大のサービスとしてのサイバー犯罪プロバイダーのひとつとなりました。

Microsoft は 2022 年以来、この悪質な活動の増加を追跡し、機械学習アルゴリズムの使用を増やして、これらの詐欺アカウントの作成で観察されるパターンを防止し、検出していました。しかし、2023 年春、Microsoft とパートナーのプラットフォームの悪用がエスカレートしたことで、変曲点が訪れました。より積極的な対策が必要となり、Microsoft とそのパートナーである Arkose Labs との部門横断的なチームが結成されました。

この措置の直後、新規登録のトラフィックが約 60% 減少したことが確認されました。この減少は、後に Microsoft のアルゴリズムやパートナーが不正使用であると認定し、Microsoft のサービスが一時停止された 60% 以上の新規登録と密接に一致しています。 

この協調的な取り組みの結果、Microsoft のデジタル犯罪ユニット (DCU) は、2023 年 12 月に最初の法的措置を取り、Storm-1152 がサービスの販売に使用していた Web サイトを差し押さえ、閉鎖しました。この措置の直後、新規登録のトラフィックが約 60% 減少したことが確認されました。この減少は、後に Microsoft のアルゴリズムやパートナーが不正使用であると認定し、Microsoft のサービスが一時停止された 60% 以上の新規登録と密接に一致しています。7 月 23 日、Microsoft は、12 月の訴訟後に同グループが設置しようとした新たなインフラストラクチャを破壊するため、2 度目の民事訴訟を起こしました。

この新たな脅威に関する報告書では、この措置の舞台裏に迫り、サイバー脅威を追及するために業界全体で協力することの重要性を強調しています。この訴訟は、業界が法的手段を用いることで、他のグループを阻止し、個人のオンライン上の安全を守ることができることを示す一例です。またこれは、継続的に阻止することの重要性や、サイバー犯罪者がその手口を変えたとしても法的措置がサイバー犯罪者に対する有効な手段であり続けることを物語っています。結局のところ、どのような作戦も一度きりで終わりということはないのです。

Storm-1152 の発見と特定

2023 年 2 月、Microsoft 脅威インテリジェンス センター (MSTIC) の Matthew Mesa (Senior Security Researcher) は、Microsoft Outlook アカウントが大規模なフィッシング キャンペーンに使用されるパターンが増えていることを確認しました。Mesa は、メール キャンペーンを分析し、不審なアクティビティを探す役割を担っています。不正なアカウントの使用が増加しているのを見て、彼は自問しました。"これらのアカウントはすべて互いに関連しているのではないか" と。

彼はすぐに新しい脅威アクター プロファイル Storm-1152 を作成し、その活動を追跡し始め、Microsoft の ID チームに調査結果を報告しました。Shinesa Cambric (Principal Product Manager、Microsoft Anti-Abuse and Fraud Defense Team) もこの悪質な活動を追跡しており、Microsoft のコンシューマー向けサービスのサインアップ プロセスを保護するために使用される HIP チャレンジを破ろうとする自動アカウント (ボット) の増加に気づいていました。​

"私のチームは、コンシューマー エクスペリエンスとエンタープライズ エクスペリエンスの両方に注力しており、毎日何十億ものアカウントを詐欺や悪用から守っています。" と Cambric は説明します。"私たちの役割は、脅威アクターの手法を理解し、攻撃を回避してシステムへのアクセスを防ぐことです。私たちは常に予防について考えています。どうすれば悪質なアクターを正面から阻止できるか、ということです。"

彼女が注目したのは、この活動に関連する不正行為のレベルが高まっていたことです。複数の関係者 (Microsoft のパートナーや Microsoft のサプライ チェーンの一部) により、ボットによって作成された Microsoft アカウントによる被害が報告されたため、Cambric は行動を開始しました。

サイバーセキュリティ防御とボット管理のプロバイダーである Arkose Labs と連携して、Cambric のチームはグループの不正アカウントを特定して無効にすることに取り組み、Microsoft の MSTIC と Arkose Cyber Threat Intelligence Research ユニット (ACTIR) の脅威インテリジェンスの同僚と作業の詳細を共有しました。

"私たちの役割は、脅威アクターの手法を理解し、攻撃を回避してシステムへのアクセスを防ぐことです。私たちは常に予防について考えています。どうすれば悪質なアクターを正面から阻止できるか、ということです。" 
Shinesa Cambric 
Principal Product Manager、Anti-Abuse and Fraud Defense Team、Microsoft 

Patrice Boffa 氏 (Chief Customer Officer、Arkose Labs) は、"当初、私たちの役割は、悪意のあるアカウント作成から Microsoft を守ることでした。" と説明します。"しかし、Storm-1152 がグループとして特定されると、私たちは脅威インテリジェンスの収集も開始しました。"

Storm-1152 を理解する

Storm-1152 は金銭的動機のある発展中のグループであり、サービスとしてのサイバー犯罪 (CaaS) を提供し、異常によく組織化され、プロフェッショナルであることが際立っていました。Storm-1152 は合法的な企業のように活動し、不正な HIP チャレンジ解決サービスを堂々と運営していました。

"これが悪意のある組織であることを知らなければ、他の SaaS 企業との違いは見いだせないでしょう。" 
Patrice Boffa 氏
Chief Customer Officer、Arkose Labs

"これが悪意のある組織であることを知らなければ、他の SaaS 企業との違いは見いだせないでしょう。" と Boffa 氏は言います。Storm-1152 の AnyCAPTCHA.com は、一般向けの Web サイトを持ち、PayPal を通じて暗号通貨の支払いを受け付け、サポート チャネルまで提供していました。

このサービスはボットを使って HIP チャレンジ トークンを大量に取得し、それを顧客に販売していました。それらの顧客はトークンの有効期限が切れる前に、不適切な目的 (後にサイバー攻撃で使用するための Microsoft の不正アカウントの大量作成など) にトークンを使用していました。Arkose Labs のチームは、この不正アカウント作成の試みは非常に迅速かつ効率的に行われており、このグループは自動化された機械学習テクノロジを使用していると結論づけました。 

"被害を最小限に抑えるための当社の取り組みに対する彼らの適応の速さを経験したとき、彼らの攻撃の多くが AI ベースであることに気づきました。" と Boffa 氏は語ります。"当社が見てきた他の敵対者と比べて、Storm-1152 は革新的な方法で AI を利用していました。" Arkose Labs と Microsoft のチームは、高度な検知と予防の取り組みにどのように適応しているか、ビジネス戦略における変化を確認することができました。

当初、Storm-1152 は、犯罪者が他のテクノロジ企業のセキュリティ防御を回避するためのサービスを提供することに重点を置いており、Microsoft​ が最大の被害者でした。Storm-1152 は、防御を回避して​​不正なアカウントを作成するサービスを提供していましたが、検知を察知した後、新たなサービスを提供し始めました。 このグループは、アカウント作成防衛を迂回するためのツールを提供する代わりに、独自のボットハーベストされた HIP チャレンジを無効にするトークンを使用して、転売用の不正な Microsoft アカウントを作成することに方向転換しました。

"私たちが Storm-1152 で確認したことは、典型的なものです。" と Boffa 氏は語ります。"脅威アクターを捕まえるたびに、彼らは別の手を打ってきます。彼らの先を行くのは、猫とネズミのゲームのようなものです。"

Storm-1152 に対する法的訴訟を起こす

詐欺活動が 2023 年 3 月に沸点に達したとき、Cambric と Mesa は Microsoft のデジタル犯罪ユニット (DCU) に、もっと何かできることはないかと相談しました。

Microsoft の対外的な執行部門である DCU は通常、最も深刻で執拗なアクターのみを追求します。刑事告発や民事訴訟、あるいはその両方が主な手段となる、ビジネスを行う上でのコストを引き上げることに重点を置いています。

Sean Farrell (Lead Counsel for the Cybercrime Enforcement team、Microsoft DCU)、Jason Lyons (Principal Manager of Investigations、DCU Cybercrime Enforcement Team、Microsoft)、そして Maurice Mason (Senior Cyber Investigator) が、さらに調査を進めるために集結しました。彼らは Microsoft の社外弁護士と協力して法的戦略を立案し、Microsoft 社内の複数のチームと Arkose Labs が収集していた脅威インテリジェンスから分析情報を得て、民事訴訟を起こすために必要な証拠をまとめました。

"DCU が関与するまでに、既に多くの作業が行われていました。" と Lyons は振り返ります。"ID チームと Arkose Labs は、アカウントの特定と無効化において既に重要な作業を行っており、MSTIC は不正アカウントを特定のレベルのインフラストラクチャに関連付けることができたため、これは DCU にとって有利な訴訟になると考えました。"

追及に値する訴訟の形成に寄与する要因には、民事訴訟で使用できる法律があること、管轄権があること、企業が個人名を公表する意思があることなどが挙げられます。 

Lyons は、これらの要素を検討することをトリアージ プロセスに例えて、DCU が事実と情報を精査し、すべてが妥当なケースであるかどうかを判断したと述べました。"私たちは、自分たちの作業に基づいて、行動を起こすための時間とエネルギーを費やすべきかどうかを問います。" と彼は語ります。"そこに投入するリソースに見合うだけのインパクトがあるのか?" この場合の答えはイエスでした。

Mason は、Storm-1152 のサービスとしてのサイバー犯罪の活動のアトリビューションを担当することになりました。"私の役割は、Storm-1152 がどのようにしてこれらの不正アカウントを他の脅威アクター グループに販売したかを追跡し、Storm-1152 の背後にいる個人を特定することでした。" と Mason は説明します。

ソーシャル メディアのページや支払い識別子を詳細に調査した結果、Microsoft と Arkose Labs は Storm-1152 の背後にいる Duong Dinh Tu、Linh Van Nguyễn (別名 Nguyễn Van Linh)、Tai Van Nguyen を特定することができました。

調査結果によると、これらの人物は不正な Web サイトの運営やコードの作成、ビデオ チュートリアルによる製品の使用方法の詳細なステップバイステップの説明の公開、不正なサービスを利用するユーザーを支援するチャット サービスの提供などを行っていました。さらに、同グループの技術インフラストラクチャへの接続が行われ、チームは米国に拠点を置くホストに特定することができました。

"私たちが DCU でこのような行動を取る理由のひとつは、このようなサイバー犯罪者の影響を抑止することです。訴訟を起こしたり、逮捕や起訴につながる犯罪者を照会したりすることで、これを実現しています。"
Sean Farrell 
Lead Counsel、Cybercrime Enforcement Team、Microsoft

Farrell は、この訴訟を前進させる決定事項について、次のように語っています。"インフラストラクチャと犯罪サービスを立ち上げたアクターを特定したチームの素晴らしい仕事のおかげです。

私たちが DCU でこのような行動を取る理由のひとつは、このようなサイバー犯罪者の影響を抑止することです。訴訟を起こしたり、逮捕や起訴につながる犯罪者を照会したりすることで、これを実現しています。米国での訴訟で犯罪者を特定し、公にすることができれば、非常に強いメッセージを送ることになると思います。"​​

Storm-1152 の再登場と 2 度目の法的措置​

Storm-1152 は、2023 年 12 月の妨害後、直ちにインフラストラクチャの機能が低下した一方で、RockCAPTCHA と呼ばれる新しいサイトと、彼らの顧客を支援するための新しい使い方ビデオを立ち上げて再び登場しました。RockCAPTCHA は、Arkose Labs の HIP チャレンジ対策を打ち破ろうと特別に設計されたサービスを提供し、Microsoft を標的にしました。7 月の行動により、Microsoft はこの Web サイトを掌握し、アクターに新たな打撃を与えることができました。

Arkose Cyber Threat Intelligence Research ユニット (ACTIR) はまた、Storm-1152 がどのようにサービスを再構築しようとしているかを詳しく調査しました。彼らは、人工知能 (AI) の活用を強化するなど、より洗練された戦術を使用して活動を難読化し、検出を回避しようとしているグループを確認しました。この復活は、脅威の状況で起きている変化を示すものであり、AI テクノロジに精通した攻撃者の高度な能力を示すものです。  

Storm-1152 が AI を統合した主な分野の 1 つは、回避の手法です。Arkose Labs は、このグループが AI を使って人間のようなシグネチャを人工的に生成していることを確認しています。

Vikas Shetty 氏は Arkose Labs の製品責任者で、脅威研究ユニット (ACTIR) を率いています。"AI モデルを使用することで、攻撃者はこのような人間のようなシグネチャを発するシステムをトレーニングすることができ、それを大規模な攻撃に使用することができます。" と Shetty 氏は語ります。"これらのシグネチャの複雑さと多様性により、従来の検出方法では追いつくことが難しくなっています。"

さらに Arkose Labs は、Storm-1152 がベトナムや中国のような国の修士課程の学生、博士号取得者、さらには教授を含む AI エンジニアを募集し、雇用しようとしているのを確認しました。

"これらの人々は、報酬を得て、高度なセキュリティ対策を回避できる高度な AI モデルを開発しています。これらの AI エンジニアの専門知識により、モデルが効果的であるだけでなく、進化するセキュリティ プロトコルに適応可能であることが保証されます。" と Shetty は語ります。

サイバー犯罪者の活動を実質的に妨害するためには、サイバー犯罪者がどのように活動し、新しいテクノロジを使用しているかを追跡することと同様に、粘り強さを維持することが重要です。

"私たちは粘り強く、犯罪者が簡単に金銭を稼げないようにするような行動を取り続ける必要があります。" と Farrell は語ります。"これが、この新しい分野を掌握するために Microsoft が 2 度目の訴訟を起こした理由です。私たちは、オンラインで顧客や個人に危害を加えようとする行為を容認しないというメッセージを送る必要があります。"

得られた経験と今後の影響

Farrell は、Storm-1152 の調査と混乱がもたらした結果を振り返って、この訴訟が重要なのは、Microsoft や影響を受けた他の企業へのインパクトだけが理由ではなく、Microsoft がサービスとしてのサイバー犯罪のエコシステム全体の一部となっている、こうした運用のインパクトを拡大しようと取り組んでいるからだと指摘します。

公衆への強いメッセージ

"マルウェア攻撃や国家主導型の作戦に対して、Microsoft がこれまで効果的に使ってきた法的手段を適用できることを示したことで、アクターの活動が大幅に緩和または改善されました。私たちが訴訟を起こした後、しばらくの間、攻撃はほとんどゼロになりました。" と Farrell は語ります。"このことから、私たちは本当の抑止力を持つことができることがわかります。そして、そこから公衆が得るメッセージは、単にインパクトを与えるためだけでなく、オンライン コミュニティのより大きな利益のためにも重要なのです。"

ID における新たなアクセス ベクトル

確認されたもう 1 つの重要なことは、脅威アクターがエンドポイントを侵害しようとするのではなく、むしろ ID を狙うようになったことです。  ほとんどのランサムウェア攻撃では、脅威アクターが最初の攻撃ベクトルとして、盗まれた、または侵害された ID が活用されていることがわかっています。
"この傾向は、今後のインシデントにおいて、ID がどのように最初のアクセス ベクトルとしてなりうるかを示しています。" と Mason は語ります。"CISO には、組織のモデリングを行う際に、ID に対してより真剣な姿勢を取ることをおすすめします。最初は ID に焦点を当て、次にエンドポイントへと移行するのです。"

継続的なイノベーションが不可欠

Storm-1152 の再登場とその AI を組み込んだ戦略は、サイバー脅威の進化を浮き彫りにしています。回避と課題解決の両方に AI を高度に利用する彼らは、従来のセキュリティ対策に大きな課題を突きつけています。組織は、こうした脅威の一歩先を行くために、AI を活用した高度な検知および緩和手法を取り入れて適応する必要があります。
"Storm-1152 のケースにより、AI に精通した攻撃者が採用する洗練された戦術に対抗するために、サイバーセキュリティにおける継続的な技術革新の必要性が浮き彫りになっています。" と Shetty は語ります。"これらのグループが進化し続けるにつれて、彼らから身を守るために設計された防御策も進化し続けなければなりません。"

私たちは、今後も新たなセキュリティ上の課題に直面することになると考えられますが、Microsoft は、今回の行動から学んだ教訓について楽観的にとらえています。Microsoft は防衛者のコミュニティの一員として、サイバー犯罪に立ち向かうためには、共通の利益のためにサービスで協力し合い、官民で継続的に協力することが不可欠であることを知っています。

Farrell はこう語ります。"脅威インテリジェンス、ID 保護、調査、アトリビューション、法的措置、外部パートナーシップの取り組みを組み合わせたこの行動におけるチーム横断的なコラボレーションは、私たちがどのように活動すべきかのモデルとなっています。"

関連記事

サイバー犯罪を生むゲートウェイ サービスの阻止

Microsoft は、Storm-1152 グループと呼ばれる最大手の不正 Microsoft アカウント販売者および作成者を阻止するために、Arkose Labs による脅威インテリジェンスのサポートのもとで技術的措置と法的措置を講じています。お客様を守るために、私たちは監視し、不正を見つけ、対応行動を取ります。
詳細情報

テクニカル サポート詐欺対策で Microsoft と Amazon、国際法執行機関が協力

Microsoft と Amazon が初めて協力して、インド全土の違法なテクニカル サポート コール センターを閉鎖させました。その詳細をご覧ください。
詳細情報

病院を妨害して人命を危険にさらしたハッカーとの戦い、その舞台裏

Microsoft、Fortra (ソフトウェア メーカー)、Health-ISAC は、クラック版 Cobalt Strike サーバーの稼働を阻止してサイバー犯罪者の運用を困難にする取り組みを共同で展開しています。その舞台裏をご覧ください。
詳細情報

Microsoft Security をフォロー