サイバー犯罪組織はどのように運営されているのか？

セキュリティ研究者が、10億ドル(約1050億円)以上を荒稼ぎしたとされるサイバー犯罪組織「FIN7」を例に、サイバー犯罪組織がどのように運営されているのかについて論じています。

CrimeOps: The Operational Art of Cyber Crime | Okta Security
https://sec.okta.com/articles/2020/08/crimeops-operational-art-cyber-crime

FIN7は、ロシアに拠点を置いていると見られる国際的なサイバー犯罪組織です。2018年にはメンバーから複数の逮捕者を出していますが、2020年現在でも依然として大規模な勢力を保っています。

セキュリティ研究者であるGrugq氏によると、FIN7は技術的な観点からは特に見るべきところのない組織だとのこと。例えば、攻撃は古典的なフィッシング頼りで、攻撃に使うツールも一般的なマルウェアの使い回しです。

高度な技術を持っていないFIN7が、1000億円以上をかせぐほどの成功を収めたのは、Grugq氏が「イノベーション」と評している画期的なプロジェクトマネージメントがあるからだとのこと。特に、洗練された人材管理とビジネスプロセスには目を見張るものがあると、Grugq氏は指摘しています。

FIN7の人材は、偽のフロント企業を介して集められました。FIN7の中心メンバーは、偽のセキュリティ企業を装ってメンバーを募集し、見込みのある人材にはビジネス向けチャットツールのHipChatを使った面接まで実施していたとのこと。

こうして集められた人材は、効果的なサイバー犯罪プロセスと、さまざまな企業や組織も応用できる収益化テンプレートを通じて、組織に利益をもたらしました。そのワークフローは以下のとおりです。

・ターゲットとなる組織の選定。
・対象組織の潜在的な弱点となる人員を探る。
・その人員にメールを送付し、トロイの木馬を開かせる。
・監視ネットワークを構築する。
・対象のビジネス口座や販売店へのアクセスなどの金融処理を特定する。
・口座から資金を引き出し、収集したデータをネットワークを介して入手する。
・入手した財務データを販売する。

Grugq氏は、FIN7の一連の犯罪プロセスについて、「信頼性の高い犯罪プロセスは、どんな被害者からも価値を引き出すことを可能にします。そこで、FIN7は搾取が可能な被害者のポートフォリオを構築して管理していました」と述べています。

FIN7は、被害者となる企業とその企業を攻撃する人材を紐づけした「プロジェクト」を単位として、ポートフォリオ管理を行っていました。各プロジェクトには、被害者に関する情報や担当者の割り当て、被害者から引き出されたデータなどが含まれていたとのこと。こうして構築されたポートフォリオは、プロジェクト管理用ソフトウェアであるJIRAを介して、常に進行状況が把握できるようになっていました。

またGrugq氏によると、FIN7の技術力が決して高くないという点は、FIN7の収益がメンバーの技術的なスキルに依存しないというメリットにもなっていたとのことです。

こうした知見を踏まえて、Grugq氏はFIN7が持つイノベーションを次のようにまとめました。

・技術頼みのイノベーションからビジネスをベースにしたイノベーションへの移行。
・再現性と適応力の高い犯罪プロセス。
・プロセスをスケーリングさせるためのポートフォリオ管理。
・大量の被害者を管理できるプロジェクト管理ソフトの使用。
・プロジェクトを並行して実行するためのキャパシティ・ビルディング。
・巧みな役割分担と構造化および人材確保。
・DevOpsやアジャイルを取り入れた開発環境。