トレンドマイクロがさまざまなサイバー犯罪アンダーグラウンド市場を調査する際によく遭遇する点は、アンダーグラウンド市場への潜入が困難ということであり、そもそもアンダーグラウンド市場を見つけること自体に困難が伴います。サイバー犯罪アンダーグラウンド市場へ入っていくためには、特定のスキルや知識が必要になります。
しかし、北米のアンダーグラウンド市場の事情は違うようです。他の国や地域のアンダーグラウンド市場と異なり、北米のアンダーグラウンド市場は、アクセス制限によって存続を図ろうとはしていません。新規参入者にも門戸を開き、むしろ逆にオープンにすることでサイバー犯罪活動を促しています。
弊社のリサーチペーパー「North American Underground: The Glass Tank(英語情報)」では、北米のアンダーグラウンド市場の Webサイトの多くはアクセスが容易であり、多くの場合、「Deep Web(ディープWeb)」ではなく、検索可能な表層Webで確認されることを明らかにしています。検索を工夫すれば誰でもアンダーグラウンド市場へ入ることができます。サイバー犯罪向けのハウツー情報を探すだけで、関連フォーラムにたどり着くことができます。
■ガラス製のタンク
北米のアンダーグラウンド市場は、技術に精通したハッカーだけがアクセスできる「頑丈に閉じられた倉庫」というよりも、サイバー犯罪者や法執行機関の双方から自由に見入りできる「ガラス製のタンク」のようなものといえます。表層Web上のフォーラムでサイバー犯罪関連の商品やサービスが露骨に宣伝されており、YouTubeのような人気サイトでも顧客の勧誘が行なわれています。
図1:YouTube動画で喧伝されるサイバー犯罪ツール「Xena」の各種機能
北米のアンダーグラウンド市場は、Crypter(暗号化ソフト)、ハッキングツール、窃取された文書、「分散型サービス拒否(DDoS)攻撃」の提供など、さまざまなサイバー犯罪関連ツールやサービスで溢れています。
以下の表は、一般的なツールとその平均価格を示しています。
| 提供物 | 価格 |
|---|---|
| キーロガー(キー操作情報収集ツール) | 1~4米ドル |
| 「Xena」RAT(遠隔管理ツール)ビルダー | 1~50米ドル |
| エクスプロイト | 1米ドル強(利用する脆弱性により変わる) |
| ボットネット、もしくはボットネットビルダー | 5~200米ドル |
| ワーム | 7~15米ドル |
| ランサムウェア | 10米ドル |
| 「Betabot」用DDoS攻撃ツール | 74米ドル |
暗号化サービスは、現時点で北米のアンダーグラウンド市場で最も需要の高いサイバー犯罪関連ツールです。これを利用すれば、不正プログラムのバイナリ作成日や他のコンポーネントを難読化できます。この場合、顧客側は、自分たちの不正プログラムをサービス提供者に送付するだけです。その後、暗号化サービス提供者は、市販の標準的なすべてのセキュリティ対策製品と照合し、どの製品で暗号化されたコードが「不正」と判定されるかをチェックしてくれます。この作業をすべてのウイルス対策製品で検知されなくなるまで繰り返します。
弊社では、このような暗号化サービスの広告をいくつか確認しています。暗号化サービスの価格については「1ファイル8米ドル(2015年12月11日現在、約977円)」から「ファイル数無制限で1,000米ドル(2015年12月11日現在、約122,100円)」など多岐に渡っています。
■ガラス製タンクへの捜査
北米アンダーグラウンド市場の透明性は、逆説的な状況を生み出しているともいえます。アンダーグラウンド市場が提供する「自由度」は、サイバー犯罪活動の活性化を可能にするはずですが、一方では、いつでも活動停止に追い込める法執行機関の監視にもさらされることになるからです。
北米の法執行機関による取り組みは、世界中の他の地域に比べてかなり強力ですが、それでもいつかの課題に直面しています。北米アンダーグラウンド市場の透明性は、アンダーグラウンド市場のほとんどの Webサイトの活動機関が短くなる状況も招いているからです。今日活動している Webサイトが明日にはなくなっているかもしれません。法執行機関の捜査も、この速いペースに追いつくことが求められます。
弊社の調査詳細については、「North American Underground: The Glass Tank」をご一読ください。
参考記事:
- 「Out in the Open: Accessibility in the North American Underground」
by Kyle Wilhoit および Stephen Hilt(Trend Micro Senior Threat Researchers)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)
http://blog.trendmicro.com/trendlabs-security-intelligence/author/kylewilhoit/