例えば、米国や欧州のエネルギー企業に対する攻撃「Dragonfly」を調査したケースでは、Symantecの研究者はマルウェア開発作業の作業時間帯を知ることができた。「その時間帯を9時から5時の就業時間に当てはめると、UTC +4の東ヨーロッパのタイムゾーンに該当することが分かった。これは、作者の居場所を示している可能性がある」とNeville氏は言う。
次に、犯罪現場そのものを調べる。ネットワーク上で攻撃者の行動も重要だ。例えば、攻撃者が毎回感染したPCの同じディレクトリに強力なマルウェアを置く、といったことが手がかりになる。
Oppenheim氏によれば、同氏の会社で追っているいくつかのハッキンググループには、被害者のPCに侵入すると、必ず3つか4つの基本的なWindowsコマンドを特定の順序で実行するくせがあるという。同氏はまた、攻撃者を特定できるほかのくせについても挙げた。「特定のシステム上でパスワードをクラックするのにどんなツールを使っているか、盗んだデータをどのように送信しているか、ネットワークの内部を移動しているか、ネットワーク上でどのように欲しい情報を探しているか、などにも注目する」(Oppenheim氏)
そして、最後に逃走経路だ。ほぼすべてのマルウェアは、いずれかの時点で制御サーバと通信して、指示やアップデートを入手したり、盗んだデータを送信したりするが、これも手がかりを与えてくれる。「インターネット上にサーバを置けば、誰かがそのサーバの料金を払うか、ドメインを登録せねばならず、そのプロセスで痕跡を残す」とTrend Microの調査機関Forward-Looking Threat ResearchのマネージャーであるRobert McArdle氏は言う。
「攻撃者は痕跡を隠そうとするが、ネットワーク側の調査を広げて、相手のすべてのサーバを見つけ出し、相手がミスをしていないかを調べることができる。例えばどこかのサーバに、油断して個人サイトをホストしているかもしれない。手がかりを得るには運が必要だが、もし運があれば、電子メールアドレスなどのヒントを手に入れて、その先から個人を辿ることができる」(McArdle氏)
攻撃者も失敗することがある、と同氏は言う。「ときには、サイトの登録に自分のメールアドレスを使うといった馬鹿げたミスをすることもある。そういう場合は、調査も簡単に進む」
しかし、そううまくいく場合ばかりではない。問題は、こういった一般的な痕跡の多くは、追跡をかわそうとするハッカーによって簡単に変えられてしまうことだ。そして、実際に変えられていることが増えている。
「多くのグループは、セキュリティ企業が調べる可能性が高い一般的な痕跡を調べて、修正している。われわれは、マルウェアの作成やコンパイルを行った時期を特定できないようにしたり、われわれをからかったりする目的で、タイムスタンプを変更したり、完全に削除したりする例を見ている」とSymantecのNeville氏は述べている。
多くの組織が真剣にハッカーを追跡するようになるにつれ、ハッカーも犯罪現場を意図的に荒らし、疑いを他人に逸らそうとすることが多くなっている。