トレンドマイクロでは、2014年3月、アンダーグラウンドのフォーラム上で、図1 の投稿を確認しました。
 |
この問題のロシア語の投稿は、「BlackOS」として知られる新製品を広告したものです。OS と言っても、オペレーティングシステム(OS)ではありません。しかし、「Black」の名のとおり、明らかに不正なものです。BlackOS は、インターネットトラフィックを不正に操作するもので、改ざんされた、もしくは不正な Webサイトから別の不正なサイトへ誘導するために利用されます。
この種の製品は、アンダーグラウンドコミュニティでは新しいものではありません。米国のセキュリティ専門家 Brian Krebs 氏も2012年5月に、類似のサービスを提供する Webサイト「iFrameservice.net」について述べていました。BlackOS 自体も、まったく新しいものではありません。BlackOS は、2013年9月にセキュリティ専門家が言及した「Tale of the North」の更新版です。
■「BlackOS」の機能について
BlackOS や類似のパッケージ製品は、改ざんされた、もしくは不正な Webサイトの管理や攻撃の過程を容易に自動化するよう設計されています。そのため、サイバー犯罪者は被害者から最大限の利益を搾取することができます。また、Webトラフィックや各機能を管理するための Webインターフェースが実装されています。大容量のインターネットトラフィックにも対応可能で、ユーザの思い通りに iframe を挿入したり、トラフィックを誘導することができます。
BlackOS は特別に安価なものではありません。1年間で 3,800米ドル(2014年3月25日時点、約38万8千円)です。再インストールおよび再構築に 100ドル(約1万円)がかかります。予算に限りのあるサイバー犯罪者であれば、基本設定(16GB RAM、オクタコアCPU、SSDストレージ)で、月額 100ドル(約1万円)で借りられます。なお、BlackOS の作成者への支払いは、電子通貨「Bitcoin(ビットコイン)」「Litecoin」または、オンライン金融サービス「Perfect Money」経由のみ受付可能です。
BlackOS の機能の 1つはオンラインスキャナーとの統合で、Webサイトがセキュリティ対策製品によってすでにブロックされているかを確認します(図2 参照)。
 |
BlackOS は、上述のとおり、Tale of the North の更新版のようです。では、なぜ BlackOS は「新製品」として販売されているのでしょうか。まずは、Tale of the North の作成者 Peter Severa について詳しく見ていきます。
■「Peter Severa」と「Tale of the North」
さまざまなアンダーグラウンドフォーラム上で「Severa」と名乗る「Peter Severa」は、2003年からスパムメール送信活動を始めていました。Severa はスパムメールを送信するために、「Waledac」や「Kelihos」といったさまざまなボットネットを利用しました。実際に現在、Severa は、Kelihos の利用に関し、刑事責任に問われています。しかし、そのようなことは意に介さず、Severa は現在もアンダーグラウンドで活動を続けています。
インターネットメッセンジャの「ICQ」および「Jabber」の彼のアカウントは、アンダーグラウンドコミュニティでよく知られています。またかつて、オンライン専用のプリペイド電子マネー「Webmoney」のアカウントを持っていたこともありましたが、現在は使用禁止になっています。弊社では、このアカウントは彼の「別名」で利用されていたと考えており、Severa はこうして身元を隠していました。また弊社は、Severa は新しい Webmoney のアカウントを所持していると考えています。
Severa は、スパムメールを送信し、そのリンクをクリックしたユーザの Webトラフィックを管理するために Tale of the North を作成しました。例えば、ユーザの地理的な位置情報によって、ユーザをさまざまな Webサイトに誘導することができました。
しかし最近、Severa と Tale of the North に関与する他のメンバーとの間に対立があったようです。図3 で示すように、Severa はこのグループから離れ、残ったメンバーが BlackOS の製品名で活動を続けていると、アンダーグラウンドフォーラムに投稿しています。
 |
現在、誰が BlackOS を販売しているのかはよくわかっていません。BlackOS を販売する人物は、Jabberのアカウントを公開しており、顧客になりたいユーザは連絡を取ることができます。また、Manager というハンドル名も利用していますが、これ以上の素性は明らかになっていません。
Severa についてはどうでしょうか。彼もアンダーグラウンドのコミュニティを離れていません。現在、Severa は 2つのアフィリエイトプログラムを運営しています。どちらのプログラムも彼の名前の一部をとって、「SevPod」および「SevSka」と呼ばれています。いずれもスパムボットに加担する不正プログラムを拡散します。
Severa は、2月に図4 の広告をフォーラム上に掲載しています。
 |
以下は、ロシア語で投稿された文章の一部を翻訳したものです。
新しいプロジェクトを紹介します。<アフィリエイトプログラムのURL>に替わる個人的なアフィリエイトです。これは長期間利用できる新製品で、たとえ発送をやめても、ダウンロードにより何カ月も収入をもたらします。他の代替品と違い、実質的にすべての国に買い手がいます。もちろん、奇跡は起こりません。米国、オーストラリア、英国、ヨーロッパから最大限の利益を得るでしょう。同時に、第三世界の国々からは長期間の安定した収入が得られます。クリック詐欺により得た金額の 95%が収入となり、お客様の広告へお支払いします。
SevPod に関するページは以下のように続きます。
SERP に替わる最新のアフィリエイトプログラムです。最大数の買い手がおり、受け取った金額の 95% をお客様にお支払いします。世界中のほとんどの国からのクリックを換金します。また、Webサイトのユーザの動作ごとの支払い、閲覧ごとの支払い、他のコンテンツとの相互作用など、トラフィックを収益化するより現代的な方法を利用しています。クリックボットのトラフィックと異なり、生のトラフィックを利用するため、長期間にわたって、より多くの収益をもたらします。
これらの投稿や Webサイトから、Severa はいまだにトラフィックのリダイレクトサービスやスパムメール送信活動に関わっていることがわかります。しかし、彼はサイバー犯罪の技術面よりもビジネス面に重点を置いていると言えるかもしれません。
これらの情報は、さまざまなアンダーグラウンドからの情報を集めたもので、基本的にすべて公開されているものです。弊社は、本記事に記載していない追加の情報を持っており、Severa もしくは BlackOS の作成者の調査をしている警察機関に、弊社への接触を働きかけています。
参考記事:
by Trend Micro
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)