トレンドマイクロは、2016年7月12日、仏「Dark Web(ダークWeb)」上最大級のサイバー犯罪アンダーグラウンド・ネットワーク「French Dark Net(FDN)」に新設された違法オンライン賭場「French Dark Bet(FDB)」について報告しました。FDB での取引はすべて仮想通貨「Bitcoin(ビットコイン)」で行われており、サイバー犯罪者による金銭の投入および回収を容易にしています。
弊社のこの報告後、FDN および FDB は一旦閉鎖し、その数日後に復旧した際に、両ネットワークが乗っ取られ金銭を窃取されたと告知。そして、FDN は、この事件後に、いくらかのシステムを更新し再稼働しました。弊社は、数週間にわたり発生したこれら一連の騒動に注目しました。
弊社は、この騒動についての弊社の調査の結果、矛盾点を複数確認しました。そのため、乗っ取りによる金銭窃取は、実際のところ、FDN の管理者が利用者の金銭を着服するための偽装ではないかと考えました。そして、仏アンダーグラウンド市場での直近の事例を調査し、仏サイバー犯罪者のコミュニティの動向を探りました。
■ FDN と FDB でのビットコイン決済システムについて
FDN および FDB のマーケットプレイスと賭博システムはすべて、独立して金融取引する機能を備えています。これはつまり、多くの資金が直接 FDN へ流れ込むことを意味しています。
- 購入者から販売者への支払い:FDN で商品を購入する場合、FDN のビットコインウォレットへビットコインを預金する必要があります。システム上、購入者は預金残高がある場合のみ販売者からの購入が可能です。販売者へは商品代金分のビットコインが FDN のビットコインウォレットから直接支払われます。FDN のシステムは、基本的に販売者と購入者の間の商取引の仲介者サービスとして機能します。
- 賭博に関わる金銭取引:賭博師は、賭博に賭ける際、ビットコインを FDN のビットコインウォレットへ預金します。賭けに勝った場合の収入は、FDN のウォレットから賭博師のビットコインウォレットへ送金されます。
- 贈与および寄付:FDN は、贈与および寄付を受け付けています。
- 募金活動:奇異な話に思われますが、FDN は、例えば「がんと闘う」など、助けを必要とする人々や組織をサポートするため、ビットコインウォレットから募金を集めることを許可しています。
■ 乗っ取り事件について
FDN の管理者は、通常ダークWeb を頻繁に訪れることのないユーザの関心を得るために、YouTube に動画を掲載して新賭博場 FDB を積極的に宣伝していました。動画が掲載された後、2016年7月13日の数時間の間、FDN が一時閉鎖されたことを確認しています。FDN は、翌7月14日に復旧した際、乗っ取りの被害を告知しました。FDN は、また、運営再開にあたりシステムを更新していました。
FDN は、乗っ取り事件の告知を手短にすませており、説明はほとんどありませんでした。FDN のフォーラム上で乗っ取られた事実を報告。ただし、FDN と FDB のデータベースに影響はなくハッカーによる侵入や情報窃取はなかったと言明しました。
FDN のビットコインウォレットだけが乗っ取りの影響を受けた、つまり FDN と FDB の利用者だけが金銭をすべて失ったことになります。このような乗っ取り事件が発生した場合、フォーラムの管理者は、通常、事件が真実であることを裏付けるような事態の詳細について怒りを表して説明します。そのような説明はコミュニティの信頼を維持するために重要です。しかし、今回の事件の場合、乗っ取り自体の詳細については何も明らかにされていません。
後に、「Zulu」という名前で知られる管理者により、今後の FDN の変更について情報が提供されました。
図1:FDNの管理者によるフォーラムの書き込み
内容を要約すると、「すべての注文はキャンセルとなり、ビットコインがすべて損失され、FDNは基本的にゼロからやり直す」という意味になります。また、FDNは、新しい規定が導入され、プライベートなフォーラムおよびマーケットプレイスとなりました。
■ 乗っ取り事件後、FDN に何が起きたのか
FDN の Webサイトがオンラインに復旧後まもなく、FDN は利用者のフォーラムへのアクセスを厳しくしました。
FDB とそのマーケットプレイスは、今も変わらず誰でも閲覧できますが、フォーラムの規定は以前より厳重になりました。現在フォーラムへのアクセスは VIPメンバーにのみ許可されており、VIPメンバーになるためには50ユーロ(約5,670円。2016年8月26日現在)の料金を支払い、さらに審査を通過する必要があります。しかも、その後も管理者の判断で削除される可能性があります。
■ 自作自演の疑い
仏アンダーグラウンド市場では夜が明けないうちに噂が広まりました。問題の事件が発生する数日前、別の仏サイバー犯罪者アンダーグラウンドの Webサイトで、内部告発者が、FDN で事件が発生する恐れについて仲間に向けて警告を送っていました。
特に弊社が注目したのは、乗っ取りがあったとされる日の7日前に投稿されたものです。
図2:「Exit Scam」の恐れを仲間に警告するユーザ
この投稿では、利用者が不審に思う FDN の変化点について論じ、金銭をすべて持ち逃げし市場を完全に閉鎖する「Exit Scam」の恐れについて警告しています。仏アンダーグラウンドコミュニティの主要人物たちには、FDN の乗っ取り事件は明らかに偽装であり、管理者がメンバーから金銭を窃取するための詐欺であったと考える根拠があるようです。
他のマーケットプレイスやフォーラムを複数調査した結果、以下のような事実および仮説や意見を数多く確認しました。
- 乗っ取りについての技術的詳細について、情報が全く提供されていない
- FDN および FDB のデータベースは無事であるとの報告に関わらず、管理者は、管理者と利用者間のメッセージをすべて削除した。これは、詐欺の準備としての計画的行動である可能性がある。
- Webサイト内で個人あてメッセージを送受信する機能が、FDN管理者によって無効にされ、メッセージの送受信が不可能になった。
- 損失した金銭についての FDN のスレッドでは、複数の利用者が、ビットコインの動向の手がかりとなるブロックチェーンの「トランザクションID(TXID)」の情報を要求したにもかかわらず、管理者からなんの回答もされていない。
- FDN の主管理者であるZuluは、他のフォーラムでの FDN についてのスレッドには複数書き込みをしている。コミュニティから詐欺師と呼ばれ、ビットコインのブロックチェーンを求めて抗議されているが、彼は一切コメントしていない。
- 以前、このような乗っ取りの事例が仏アンダーグラウンドで発生した際には、管理者は被害者に一部返金し、また全額返金することさえあった。FDN ではそのような応対は一切ないばかりか、管理者は即座に返金はないことを明言している。
- ある FDN のメンバー2 人は、別のマーケットプレイスのフォーラムで、この事件の全容について話していた。その1人は、事件が発生した時点ですでにビットコインの引き出しを2日間待たされていた(FDN のシステムでは引き出しに2、3日を要する)が、自身の FDN の口座を確認したところ、30分のうちに出金が2回なされており残高がすべて消えていた。この件について長いスレッドが FDN に投稿されたが、ほぼ即座に説明もなく削除された。もう1人がこの件について証言している。
- 何人かの FDNメンバーは、乗っ取り事件発生の少し前、口座のパスワード変更があったと報告している。管理人がデータベースへの侵入はなかったと言明していたことから、さらに疑わしさを増している。
- 過去1カ月以上にわたり実行されている FDN の管理者による操作は、多くのサイバー犯罪者にとって不審であり、詐欺行為発生の兆候と見られている。
■ 被害額はどれほどか
あるサイバー犯罪者は、別の仏アンダーグラウンドフォーラムで、この事件による被害総額が18万ユーロ(約2,040万円)と見積もっています。この推測は以下の仮説に基づいています。
- 何千人もの活発な利用者の FDN の口座残高は、平均で350ユーロ(約4万円)
- 活発でない利用者の FDN の口座残高は、0~数十ユーロ程度の少額か、あるいは数千ユーロ
- 非常に活発な利用者の FDN の口座残高は数千ユーロ
一方、仏アンダーグラウンドコミュニティで信頼されている有名なある人物はこの仮説を強く否定し、被害額は100万ユーロ(約1.1億円)に近いと予想しています。
■ FDN のこれから
乗っ取り事件あるいは詐欺か、いずれにしても、この事件は明らかに FDN のコミュニティに分裂を引き起こしています。FDN で商売を継続している利用者もいれば、腹を立て既に立ち去った利用者も存在します。FDN を離れた利用者の多くは乗っ取りであるとされた事件についてなんの詳細説明もなかったと感じており、他の利用者はフォーラムにアクセスするために費用が発生するという新しい規定に賛同していません。
FDN は今後どうなるでしょうか。継続するでしょうか、あるいは徐々に内部崩壊するでしょうか。1つには、被害に遭ったサイバー犯罪者がFDNの管理者に対し報復に出る可能性が考えられます。あるいは、サイバー犯罪者がフランスの法執行機関に引き渡されるなど、全く別の話になる可能性もあります。
アンダーグラウンドでなされている議論や噂を考察すると、もし FDN の管理者が仲間をカモにしたのであれば、この手口は一度しか使えないことが明らかです。コミュニティのサイバー犯罪者は、次に起こるとすれば、管理者がすべての金銭を持って完全に消え去る「Exit Scam」しかないだろうと推測しています。
参考記事:
- 「When Hackers Hack Each Other—A Staged Affair in the French Underground?」
by Cedric Pernet (Threat Researcher)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)