シマンテックは、ルーマニア警察とFBIの協力で逮捕にいたったBayrobグループによる自動車ネットオークション詐欺の手法を紹介、同社も各機関とともに8年間にわたるBayrobマルウェアの追跡、総額3,500万ドルにも及ぶ可能性もあるという被害をもたらしたグループの逮捕に一役買っている。

Bayrob グループの容疑者 3 人、取り調べのために米国へ移送(同社公式ブログより)

2016年はじめに逮捕され今月16日にFBIへの引き渡された同グループが2007年からeBayで行っていたオークション詐欺は、広告などを使い自動車に興味を示す候補者を探し出し、カスタム設計のマルウェア「Trojan.Bayrob」を流し込む。目的の自動車がほしい被害者は、偽のeBayへと巧みに誘導され、仲介人の銀行口座を通して、グループに送金してしまうという仕組み。感染端末は6万台から16万台にのぼり、1,100万通のメール配信を行っていたことをシマンテックは指摘している。

手が込んでいるのが、感染していない端末からは該当オークションは存在していないように見える仕掛けや、販売が一旦終了したように見せかけ、再度自動車が販売に出されたと通知するなど日常的なビジネスと変わりない様相を演出し、信頼性を得るために偽の運送会社の設立まで行っている。マルウェアは販売中に送られる目的の自動車のスライドショーのなかに埋め込まれており、欲しい商品への思いを巧みに利用し被害を拡大させていた。

オークション詐欺で利用された自動車のスライドショー(同社公式ブログより)

逮捕された3人は、戦略決定を行うリーダーとボット開発など技術全般を司る責任者、ネットオークション詐欺を担当するスタッフがルーマニアのブラショフとブカレストに点在しており、米国内にはマネーミュールと呼ばれる求人広告で集めた送金仲介人を用意、無自覚な彼らを利用して送金を行わせている。

シマンテックは、2007年に公式ブログでeBay詐欺を取り上げ、その存在に警鐘を鳴らしているが、反発を強めたグループはSymantecの研究者を誹謗するC&Cサーバ名やコード内へ中傷の記述を混入するほどエスカレートさせる一面も見せている。継続的に調査を行う同社は2011年以降Bayrobグループのネットワークを段階的に明らかにしながら水面下でFBIと共に追い詰めることで逮捕へと繋げている。

プログラム内に埋め込まれたシマンテックへの誹謗(ブログではもっとも無難な中傷を取り上げているとしている)

同社はこれまでにも数多くの捜査に協力し、サイバー犯罪の逮捕に貢献しており、今回も逮捕も継続的な調査から導かれた結果のひとつでしかないことを述べるとともにセキュリティ企業と法執行機関が効果的に協力することの意義を強調している。