かつて国内では、ある証券会社が「61万円1株売り」とすべき注文を「1円61万株売り」と誤って株式を発注したことにより市場が混乱したことがあったが、マルウェアを使っても同じようなことが起こり得る。実際ロシアではこれと類似した出来事が起こっていた。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
ある金曜日の昼下がり、あるロシアの銀行が総額5億米ドルを超える買い注文を、銀行間為替取引システムを通じて発注した。この一連の注文で米ドル/ルーブルのレートは1ドル55ルーブルから66ルーブルの間で揺れ動いた。こうした変動幅は通常には起こらないような巨額の発注によって生じた。
カザン(ロシア西部)のエネルゴ銀行(Energobank) はわずかな金銭上の被害を被っただけで済んだが、これは額の大小にかかわらず注目すべき出来事である。なぜならば、この注文は発注者の不注意によるのではなく、マルウェアの仕業だったからである。
興味深いことに、これは全て2015年2月ごろの出来事なのだが、詳細が明らかにされたのはその1年後の、2016年2月のことである。エネルゴ銀行、ロシア中央銀行、モスクワ証券取引所、そして警察による調査が遅れたためである。
エネルゴ銀行はこの間、情報セキュリティコンサルタント会社のGroup-IB、 ESET 、その他2、3の情報セキュリティ専門会社にこの調査を補助するように依頼をした。
「コーク」という名のマルウェア
エネルゴ銀行の為替取引プラットフォームに対する攻撃に使われたのは、ESETが2011年以来検知している「コーク」(Corkow)というマルウェアである。
「コーク」については、ブログ発信を行っているセキュリティ専門家グラハム・クルーリー (Graham Cluley) 氏がこのトロイの木馬型ウイルスの概観をまとめており、また、ESET のロバート・リポスキー (Robert Lipovsky) が技術分析を公表している。
コークはマルウェアとして「有名」ではないが、今なおとても実効力のあるトロイの木馬であり、特に銀行を標的としている点に特徴がある。「有名」ではないというのは、それが主に企業間の銀行決済や銀行そのものを攻撃の対象とし、「へスパーボット」(Hesperbot)のように、「リテール」銀行を相手とするトロイの木馬ではないからだ。
ほかのより進化した銀行向けトロイの木馬と同じように、コークはモジュラーアーキテクチャに基づいており、そのため実際の攻撃者の必要に応じてさまざまなプラグインを使えるようになっている。そして最も重要なことは、コークは幾つかのリモートバンキングシステムと取引プラットフォーム向けのモジュールを持っていることである。
「コークの別の重要な特徴は、検知をくぐり抜け、感染したシステム内にDLLファイルとして隠れて居座り続ける能力があるということです」と、ESETのマルウェア研究者であるアントン・チェレパノフ (Anton Cherepanov) は述べている。
取引システムに対する攻撃
今回の捜査が明らかにしたところによれば、このマルウェアは2014年9月には、取引プラットフォームを構成するコンピューターの1つを感染させ、銀行のシステムへの侵入経路を確保した。次に、犯人たちは必要とされる証明書を手に入れ、最終的には自分たちの取引ソフトを送り込み、システムの正規の運営者から効率的にシステムを乗っ取ったのである。
不正な操作は米ドルの一連の売り注文と買い注文から構成されている。注文全てが実行されなかったのにもかかわらず1億6,000万ドルの買い注文、9,000万ドル以上の売り注文が成立した。
ルーブルと米ドルの為替レートは従来の市場の展開と全く相いれないこのような取引の下で、極端に不安定なものになった。その乱高下によって1米ドル当たり59.07ルーブルでドル買いをして63.35ルーブルで売り抜けるようなことが可能となった。
この利ざやの大きさは異常で、通常の市場の条件下では全くあり得ない。しかし取引額自体がそれほど大きくなく、攻撃者はこの一連のスポット売買で目立った利益を上げることはなかったようである。
攻撃は14分間だけ続き、「攻撃の直後、そのマルウェアは感染したシステムから自分自身を消し去って、その活動の痕跡を全て消し去るコマンドを受けた」とチェレパノフは述べる。
そのいきさつ
このサイバー犯罪者は、エネルゴ銀行の取引機構を乗っ取り、彼らの意図の下に取引を運用したため、取引プラットフォームへのこの攻撃は成功だったと言える。しかし、公開されている情報を見る限りでは、彼らは今回の行動からは直接現金を稼いでいない。
「犯人たちがどのようにしてこの攻撃を活用したかについては、幾つか説明が成り立つかもしれません」とチェレパノフは述べる。
一つの可能性として、とチェレパノフは続けて言うのだが、犯人たちは今後の市場での取引において、市場の展開がどのように行われるかを知るというアドバンテージを得たのではないだろうか。
あるいは、この市場操作から利益を得た第三者がいるのかもしれない。
チェレパノフはこう締めくくっている。「あるいは、今度の出来事は全て単なる試運転であった可能性もあります。今回、犯人たちが現に市場操作ができると確信を得たのであれば、今後もう一度攻撃が行われることを覚悟しておくべきなのかもしれません」
