メキシコの銀行で電子決済システムSPEI(Interbank Electronic Payment System)による不正送金事件が起きたのは2018年4月のことだった。その1カ月後にはチリの大手商業銀行、バンクデチリで大規模なWiper攻撃が発生し1000万ドル(約10億5000万円)が香港の口座に流出したと言われている。サイバー攻撃に激しくされされている金融システムの実態を探る。
銀行間電子決済システムを介して不正送金
SPEIは、メキシコの中央銀行が管理、運営している銀行間電子決済システムでメキシコの異なる銀行間の決済を簡易に行えるものだ。利用者はSPEIに自身の口座を登録しておけば、異なる銀行の口座へのオンライン決済や店舗での支払いをスマートフォンなどのモバイル端末で即時に行うことができる。その際、銀行間ではSPEIの利用者の口座のあるA銀行の口座から決済口座のあるB銀行の口座に中央銀行を介して資金を移動する処理がオンラインで行われている。
2018年4月に発生したケースは、中央銀行を介した銀行間の支払い指示が存在しない口座からの不正な指示であったにもかかわらず、システム的に異常がなかったことから、A銀行の口座からB銀行の口座にお金が移動し、不正に開設された口座からお金が引き出されたようだ。メキシコニューズデイリーがエル・エコノミスタの記事として伝えている報道によると、中央銀行は3つの銀行を含む5つの金融機関に3億ペソ(約15億円)が不正に移動したと説明、引き出された額については明らかにしていない。ただし、別の報道では4億ペソが引き出されたとの情報もある。メキシコの中央銀行は、SPEIに接続するシステムが侵害されたとの見解を示し、SPEIシステムへの侵害を否定している。
これは2016年2月にバングラディシュ中央銀行の指示により、SWIFT(国際銀行間通信協会)のシステムでニューヨーク連邦銀行のバングラ中銀の外為口座からフィリピンのリサール商業銀行に約8100万ドル(約90億円)が不正送金された際、SWIFTのシステムそのものに侵害はなかったとされたのと似ている。バングラ中銀のケースでは、バングラディシュ中央銀行のシステムがハッキングされて虚偽の指令がSWIFTに行われたことから事件が起きたことがわかっているが、メキシコSPEIのケースにおいても、中央銀行の説明に従えばメキシコの金融機関のシステムがハッキングされて虚偽の指示がSPEIに行われたものとみられる。しかし、メキシコの金融機関は被害について明らかにしておらず、顧客への被害は発生していないことからSPEIをめぐる不正送金の実態の詳細は報道ベースでは明らかにされていないようだ。
ワイパー攻撃で錯乱している隙に?
メキシコでSPEIによる不正送金が明るみになった1カ月後、サンティアゴに本店を置くチリの大手商業銀行、バンクデチリで9000台のワークステーションと500台のサーバーが破壊され、Swiftのシステムによって1000万ドル(約10億5000万円)が香港の口座に不正に送金されるという事件が起きた。サイバーセキュリティの専門家の分析によると、破壊行為を行ったワイパーマルウェアはkill_osと呼ばれるMBR Killerモジュールの修正バージョンだという。MBR Killerは2015年にロシアの銀行を襲ったマルウェアBuhtrapのコンポーネントだという。Buhtrapはロシアやウクライナの金融機関や企業を狙った攻撃で使用されてきたようだ。
チリには、すべての金融機関のATM(現金自動預け払い機)を接続するシステムがあり、このシステムを運営しいるのがRedbancという企業だ。チリでは2018年5月に大手商業銀行のバンクデチリの不正送金事件が起きた後、Redbancもサイバー攻撃を受けていたことが明るみになった。これはチリの上院議員が2019年1月にツイッターでリークしたもので、Redbancもこれを認めたが、サービスは正常に機能しているとして詳細な実態は明らかにしなかった。
しかし、その後、サイバー脅威インテリジェンスを手がけるFlashpointがレポートを発表、Redbancの1人の従業員のコンピューターがマルウェアに感染し、そこからシステムに感染が拡大したことが判明した。FLlashpointの調査によると、この従業員のコンピューターはPowerRatankbaに感染していたという。FlashpointによるとPowerRatankbaは北朝鮮と関係があるとみられているハッカーグループ、Lazarusによって使われている偵察とダウンローダーツール。感染したコンピューターからは情報が窃取されていたものとみられる。Redbancの従業員はビジネス特化型SNSのLinkedInから他社の募集広告に応募をしていたとのことで、その際、Skypeで面談を受けて、相手から誘導されるまま偽の求人フォームのファイルを自身のコンピューターにインストールしたという。その際にコンピューターにPowerRatankbaが感染したものとみられている。
ClearSkyが報告するOperration ‘Dream Job’とは?
脅威インテリジェンスなどのサイバーソリューションを手がけるClearSkyは今年8月、「Operration ‘Dream Job’」という報告書を発表した。この報告書では、LinkedInアカウントを利用してアメリカの大手防衛産業や航空会社の人事担当者になりすまし、これら大手企業に関係する企業の従業員のLinkedInアカウントにコンタクト、引き抜きをほのめかして関係をつくり、コンピューターにファイルをダウンロードさせてマルウェアに感染させる手法が紹介されている。ClearSkyによると、この手法はハッカーグループのLazarusによって行われているものだという。
米国土安全保障省のCISAとFBI(連邦捜査局)は今年8月19日、BLINDINGCANというトロイの木馬型マルウェアの詳細を明らかにした。米国政府から仕事を請け負っている企業の軍事やエネルギーに関する情報収集を目的に、これら企業の請負企業の従業員らに求人を「餌」に接触し、不正なファイルをインストールさせてコンピューターにBLINDINGCANを感染させて情報を窃取するという。CISAとFBIによれば、BLINDINGCANは北朝鮮ハッカーが使っているマルウェアだという。
【参考】
https://mexiconewsdaily.com/news/central-bank-says-cyber-attack-cost-300-million-pesos/
https://www.banxico.org.mx/services/spei_-transfers-banco-mexico.html
https://www.banxico.org.mx/payment-systems/d/%7B90965A55-8F44-7DD2-45CF-2BF1D7C0B75B%7D.pdf
https://business.ebanx.com/en/mexico/payment-methods/spei
http://www.sankeibiz.jp/macro/news/180515/mcb1805150500020-n1.htm
https://www.welivesecurity.com/2018/05/24/mexico-cybercriminals-steal-400-million/
https://www.wired.com/story/mexico-bank-hack/
https://www.welivesecurity.com/2018/06/05/cyberattack-on-banks-mexico-cybersecurity/
https://www.welivesecurity.com/2018/05/24/mexico-cybercriminals-steal-400-million/
https://www.boj.or.jp/announcements/release_2016/data/rel161110a.pdf
https://threatpost.com/banco-de-chile-wiper-attack-just-a-cover-for-10m-swift-heist/132796/
https://www.reuters.com/article/us-chile-banks-cyberattack-idUSKBN1J72FC
https://www.bankinfosecurity.com/banco-de-chile-loses-10-million-in-swift-related-attack-a-11075
https://latesthackingnews.com/2018/06/10/chilean-bank-computers-crashed-after-swift-hack-attempt/
https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
https://www.clearskysec.com/operation-dream-job/
https://us-cert.cisa.gov/ncas/current-activity/2020/08/19/north-korean-malicious-cyber-activity
