情報収集活動の背後にあるビジネスモデル

2013年3月13日に公開した記事では、サイバー犯罪者たちが、どのように収集した情報を利用するか、なぜユーザの情報を欲しがるのかについて報告しました。前回に引き続き、拡大するサイバー犯罪関連経済、そして情報窃取の脅威から自身の情報を保護するために役立つ事実と提言について解説します。

そして、今回と次回の2回に分けて「サイバー犯罪関連アンダーグラウンドの状況」についても解説します。前編である今回は、アンダーグラウンドでのサイバー犯罪の領域において存在する「信頼モデル」、および商品の販売経路や関係者のプロファイリングについて取り上げます。

■情報収集のビジネスモデル
犯罪者たちが、アンダーグラウンドにおいて金銭を容易に手に入れていることはよく知られています。しかし、犯罪者たちがどのようにしてマーケットに参加し、品物を売っているかについてはあまり知られていない、または議論されていません。

このような犯罪者たちは、まずは商品とともにマーケットに参加しなければなりません。ソースコード共有サイトである「Pastebin」やアンダーグラウンドフォーラム、また、いくつかの商品販売サイトへ頻繁に働きかけます。さらに正規のフォーラムやWebサイトに自身の「広告」を投稿するといった犯罪者間では人気の手法を利用します。これらの活動は、「顧客獲得」段階の一部と考えられます。そして次の段階は、市場に合った価格決定モデルを設定することになります。

■価格差別 VS 浸透価格
過去5年間、アンダーグラウンドフォーラムでは、価格決定モデルとして「価格差別」が使われてきました。価格差別とは、供給者が複数の理由を元に異なる価格で同一の商品やサービスを販売することです。

しかし、ここ過去2年で、価格差別から浸透価格のモデルへと転換がされてきました。浸透価格とは、複数の異なる方法によって新たな購入者を引きつけるために販売者によって利用される手法です。

浸透価格のモデルでは、犯罪者は、マーケットに参入すると、マーケットシェアを獲得するために他の販売者より低い価格で商品を販売します。そして他の販売者と同じ市場価値になるまで、その価格をゆっくりとつり上げていきます。ユーザから窃取した商品の販売に関わるベンダの多くは、このモデルを採用した後から商品の売上がよくなっています。またこのモデルを活用することで、販売高を向上させ、高い棚卸資産回転率につなげることが多いようです。

この浸透価格の上昇は、こういった商品を販売するアンダーグラウンドマーケットへの新規参入者が多くいるために、発生するようです。このような新しい参加者たちは、上限価格のルールを守らず、購入者独自の特質にも追随していませんでした。

また、不正行為の隠ぺい技術が、飛躍的に向上したため、このような犯罪者たちもまったく制約を受けずにマーケットに参加しているようです。隠ぺい技術の例としては、日本のなりすまし犯罪予告事件で使用され注目された「Tor」などがあります。

■犯罪者の全体像
本ブログの目的は、こういった犯罪者たちの犯人像を描くことではありません。しかし、犯罪者についての全体像を考察することはアンダーグラウンドのコミュニティで商品を供給する販売者たちとその手口を一般化するのに役立ちます。そしてこういった情報を知ることは、このような犯罪者たちから身を守る手助けとなるでしょう。

筆者は10個の固有の販売サイトを分析しましたが、その結果、このような詐欺行為に関わる犯罪者の共通項について、以下の考察が得られました。商品を販売する多くのサイトは、ウクライナやオランダ、ロシアに存在していることが判明しています。また、このような脅威に関連する犯罪者は、支払方法として、「Liberty Reserve」や「UKash」、「Western Union」などの電子決済システムを好みます。なかには、電子マネーでの支払いが認められる、または要求される場合もあります。こういった電子決済サービスが犯罪者に好まれる理由は、取引の手続きに、「SMSメッセージ(以下、テキストメッセージ)」やEメールによる確認だけが必要であること、と考えられます。いくつかのサービスのなかには、Ukash のように、固有の19文字から成る換金コードが与えられ、それだけで現金に交換できるものもあります。犯罪者は、ただ取扱店(オンラインまたは店頭)を見つけ、この換金コードで現金のやり取りを行います。ほとんどの場合、支払口座の登録は匿名で行われています。

また、販売サイトとして登録されたドメインのほぼすべてが、登録者のEメールアドレスとして Gmail または Yahoo! mail を使用していました。同様に、多くの投稿主は、推奨クライアントである Yahoo! メッセンジャーや ICQ などのインスタントメッセージを介して連絡を取り合うことを希望していました。

■信頼モデル
新規販売者たちが日々参加し、隆盛するアンダーグラウンドマーケットで、信頼は不足しています。そのため、犯罪者たちは、お互いや他者が行うビジネスの妥当性を確認するための手段を模索します。

図1:良い評価の投稿を求める投稿の例
図1:良い評価の投稿を求める投稿の例

犯罪者たちは、自身の「ビジネス」を従来型のものとして捉えていないとはいえ、高い確率で、よく知らないまま、コアビジネスモデルを採用します。そして個人向けビジネスを立ち上げると、この個人に対するマーケティングを強化していくだけではなく、販売者である自身の信頼を上げることにも関心を向けます。

また犯罪者は自身の信頼を上げるため、他者への評価も利用します。これは大抵の場合、フォーラムに良い評価を投稿するといった形式で行われます。

図2:他のユーザからの良い評価の投稿例
図2:他のユーザからの良い評価の投稿例

次回、後半では、サイバー犯罪者たちがユーザの情報を窃取する情報源とその方法、そして情報窃取の危険性を軽減するための対処法について詳しく述べます。

参考記事:

  • Business Models Behind Information Theft
     by Kyle Wilhoit (Threat Researcher)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. アドビ製品に新たな脆弱性 ゼロデイ攻撃の発生も確認!
    2. 「iPhone」ワーム登場! 日本上陸の可能性は?
    3. 「母の日」に便乗するスパムメールに注意!
    4. 実験!スパムボットが1日に配信するスパムメールの数とは?