マイクロソフト、AIを活用してランサムウェア訴訟で2つのマルウェア関連を特定

マイクロソフトとそのパートナーは、国際法執行機関と連携し、AIの支援を受けて2つの広く使用されているマルウェアとそのインフラストラクチャを破壊しました。この行動は、単一のツールではなくサイバー攻撃のサプライチェーンを標的にするという、サイバー犯罪対策の戦略転換を示しています。

マイクロソフトのデジタル犯罪ユニットのアシスタントジェネラルカウンセル、スティーブン・マサダ氏はブログで、今回の新しさはAI分析と法律の拡張適用を組み合わせた点にあると述べ、特に米国の「不正組織対策法（RICO）」を活用したことを強調しました。これまでマイクロソフトは主にRICOなどの法律を単一のサイバー犯罪サービスやインフラストラクチャに対して使用していました。

今回の破壊活動では、StealCおよびAmadeyマルウェアの基盤を形成する200以上のドメインとコマンド＆コントロール（C2）サーバーが停止、遮断されました。ESET、BitSight、三井物産セキュアディレクション（MBSD）、IBM X-Force、Proofpointなど複数のセキュリティ企業もこの作戦に参加しました。

先週発表されたSocGholishの破壊活動と合わせて、ユーロポール主導の法執行連合は4700万ドル以上の暗号資産を特定・制限し、約2700万件の盗難認証情報を回収しました。

StealCとAmadeyは別々の犯罪グループによって開発された独立したマルウェアですが、同じインフラストラクチャを使用し、連携して動作していました。StealCは複数のブラウザ認証情報やクッキー、暗号通貨ウォレット、メッセージングアプリからのチャット、その他の機密データを収集し、C2サーバーに送信します。また、二次ローダーとしても機能し、ステイラーをレンタルした犯罪者が感染デバイスに追加のマルウェアをダウンロードできるようにします。Amadeyはマルウェア・アズ・ア・サービスであり、StealCなどのステイラーやリモートアクセス型トロイの木馬、暗号通貨マイナー、ランサムウェアなどを配信するために使用されます。5月の最初の2週間だけで、AmadeyとStealCは全世界で14万台以上のコンピューターに感染したとされています。

マサダ氏は「もはや脅威を一つずつ追跡するだけでは不十分です。攻撃がどのように組み立てられるかを妨害する必要があります」と述べています。このケースでは、マイクロソフトの調査員がCopilotやその他のAIツールを使用して両方のマルウェアとそのインフラストラクチャを分析し、「複雑なコードを手動で調べる代わりに平易な英語で質問する」ことで、重要な詳細、隠されたデータを発見し、結果を検証する時間を数時間または数日から数分に短縮し、チームがより迅速に関連性を特定できるようにしました。重要な詳細の一つは、AmadeyとStealCが同じインフラストラクチャを使用していたことです。これにより、マイクロソフトの法務チームは両方のマルウェアをRICOの下での単一の共謀と見なし、両方の活動に関与しているとされる5人の被告に対して民事訴訟を提起することができました。裁判所の文書によれば、「被告はマルウェア・アズ・ア・サービス企業を運営するサイバー犯罪者のグループであり、一般にAmadeyマルウェアスイートおよびStealCマルウェアスイートとして知られる悪意のあるソフトウェアを利用して、数十万人の無実のコンピュータユーザー（マイクロソフトのソフトウェアおよびサービスの多くのユーザーを含む）を被害に遭わせています。」