サイバー犯罪をめぐる現代の状況は、10年程前と比べても大きく変化しています。当時はほとんどのサイバー犯罪者が、自身で一連のツールを作成するか、別の開発者を雇って作成させるかしていました。そして、世界規模のオンライン攻撃は、必要な技能や知識を持つ有能なプログラマが実行するものでした。やがて、サイバー犯罪者たちは、攻撃ツールや手口を共有し拡散するために仲間内でコミュニティを形成するようになりました。このようなコミュニティが、他のサイバー犯罪者がツールを購入する市場へと発展しました。
攻撃ツールが売買される市場は、インターネット上やTorなどの匿名ネットワーク上に構築された専用のWebサイトやオンライン掲示板という形で今なお存在しています。ツールの開発者は、自身の製品がどのような用途に使われているかを完全に理解していながらも、ソフトウェアの利用方法は購入者の自己責任だとして、責任を逃れようとします。しかし、そのようなツールの開発者は自身の製品をサイバー犯罪者が集まるオンライン掲示板等でのみ販売していることから、その用途を理解していることについてはほとんど疑いの余地がありません。
本記事では、アンダーグラウンド市場のベンダが、自身の製品を宣伝および販売する戦略について、正規ソフトウェアベンダの販売およびマーケティング手法との類似点に焦点を当てて詳説しています。
図1:マルウェア暗号化ツールの広告例
■サイバー犯罪者向けソフトウェアおよびサービス
アンダーグラウンド市場ではサイバー犯罪者向けにさまざまな製品が提供されています。それらのソフトウェアがすべて不正活動のためのツールとして販売されているわけではありません。しかし、ほとんどはサイバー犯罪に利用される潜在的な可能性を持っており、中には明らかに不正なものも見られます。
これらの攻撃ツールは、以下のように分類することができます。
遠隔操作ツール
「Remote Administration Tool(RAT)」と呼ばれるプログラムは、対象PCで遠隔からコマンドを実行することが可能です。正規のネットワーク管理者は、RATを使用することにより、遠隔PCの設定消去、修正、および変更が可能となり、中規模ネットワークの管理費用を削減することができます。
サイバー犯罪者がRATを悪用した場合、マルウェア感染、サイバー諜報活動、データ窃取、任意のプログラム実行、Webカメラの不正操作による録画のような不正活動を実行することが可能になります。
バイナリファイルの難読化および暗号化ソフトウェア
このようなツールは、解析および検出を回避するために対象プログラムに変更を加えます。このような機能は、正規ソフトウェアを、ハッキングや改変、およびリバースエンジニアリングから守り、知的財産を保護するために利用可能です。一方で、ウイルス対策ソフトやその他の防御ソフトウェアによる検出を回避するためにも利用可能なため、不正プログラムの活動期間を延ばすことを目的として利用されることがあります。実際、これらのソフトウェアの広告のほとんどは、有名なRATやトロイの木馬型マルウェアとの互換性に言及しています。多くの場合このようなソフトウェアの機能は、表面的なバイナリコードを変化させることにより、ウイルス対策ソフトのパターンマッチングによる検出を免れるために使用されます。そしてこのようなソフトの開発者は、ウイルス対策ソフトにより検出されるようになった際にはその難読化、暗号化手法を変更することを保証しています。
キーロガー
キーロガーは、ユーザの行動調査やデータ窃取のために、キー入力を検出して傍受します。通常、キーロガーは、Webサイトやオンライン決済サイト、オンラインバンキングあるいはその他のオンラインサービスのユーザ名やパスワードなどの認証情報窃取に焦点を当てています。キー入力の記録は、ユーザのプライバシーを侵害することにもなるため、キーロガーが合法的に使用される正当な事例は非常に限られたものだと言えるでしょう。
■アンダーグラウンド市場におけるソフトウェア販売戦略
アンダーグラウンド市場は、ツールを購入するためにさまざまな手順を踏まなければいけない複雑な場所だと思われているかもしれません。しかし、そのような一般的な印象とは対照的に、アンダーグラウンド市場でソフトウェアを販売する多くのベンダは、一般企業と変わらないような方法で自身の製品を宣伝しています。実際、現在のアンダーグラウンド市場におけるソフトウェアの売り込み方は、プランに応じた価格設定や一括購入割引、そしてアフターサポートに至るまで、正規のソフトウェア販売方法によく似ています。
以下は、アンダーグラウンド市場で確認されたソフトウェア販売戦略です。
「サービス」としてソフトウェアを提供するライセンスモデル
アンダーグラウンド市場のソフトウェアは、一括払いのパッケージとして販売されることはめったにありません。代わりに、利用期間が定められたライセンスが販売されます。開発者は、ソフトウェアがライセンスを検証するサーバに接続するようにし、購入者のライセンスが有効かどうかを確認します。これは、正規のソフトウェアが海賊版ライセンスを検出して無効化する上で利用する非常に一般的な方法であり、アンダーグラウンド市場の販売者もそれを踏襲しているようです。
ハッカーがハッカーのために作成したライセンス管理システム「NetSeal」が、2017年に取り締まりによって利用停止となり、開発者が米国の裁判所から有罪判決を言い渡された事例は注目に値します。2015年11月に逮捕された、マルウェアを暗号化するソフトウェア「Cryptex Reborn」の開発者は、ライセンスを保護するために「NetSeal」を使用していました。
図2:アンダーグラウンド市場で販売されているソフトウェアの広告
ライセンス期間に応じた価格が設定されている
利用可能な機能に応じたライセンス区分
アンダーグラウンドで販売されているソフトウェアの中には、利用可能な機能と価格に応じて何種類かのライセンスを提供しているものがあります。各ライセンスは、ブロンズ、シルバー、ゴールド、プラチナのような金属の名称や、ベーシック、プレミアムといった語句で区分されています。通常、価格が高くなるほど、よりパーソナライズされた機能やサービスが利用可能になります。
図3:ライセンス区分ごとに利用可能な機能と価格が設定された広告
よくデザインされた販促画像
ソフトウェアの販促画像には、たとえダウンロード販売されているとしても、通常、物理的な梱包箱の画像が使われています。正規ソフトウェアメーカーと同様に、アンダーグラウンド市場の販売者は、よくデザインされたロゴと入念に選択したブランドカラーを持っています。通常、アンダーグラウンド市場のソフトウェアショップは開発者1人で運営されていますが、自身がデザイナーでない場合、高品質かつ専門的な印象を与えるためにグラフィックデザイナーにデザイン料を支払う必要があると考えているようです。この点で、訪問販売的な手法を採る新規参入者にとっては参入のためのハードルが非常に高いものとなっています。
競合製品との比較表
アンダーグラウンド市場で販売されるソフトウェアの中には、主な機能に関する競合製品との「比較表」を提示しているものもあります。これは、競合製品に対する優位性を示すためにソフトウェアベンダが利用する古典的な手法です。しかし、アンダーグラウンド市場では、通常、競合製品の実名は言及しません。この市場は非常に小さく、互いによく知っていることがほとんどであるため、名指しで競合製品と比較することは避ける傾向にあります。
図4:競合製品の機能と比較し、自身の製品の優位性を示す広告
提供されるサポートのレベル
トレンドマイクロが確認した事例では、攻撃ツールの開発者は、ある程度の水準でサポートを提供しています。これは通常、「24時間365日」や「特定のタイムゾーン」、あるいは「X時間以内に対応」のような定められた条件で直接連絡を取ることが可能なチャットサポートです。開発者にとってコミュニティ内での評判は非常に重要であるため、彼らは購入者と直接やり取りし、可能な限り迅速に問題を解決することで顧客に喜んでもらおうと努力しているようです。正規ソフトウェアベンダの中には、サポートにかかる費用を削減するためにチャットサービスを提供しているものもありますが、このようなレベルのサービスを一貫して提供することは容易ではありません。
図5:オンライン・チャット・ツールの連絡先情報
ニュースや更新情報などの共有先URLも確認できる
第三者による高評価の確立
ソフトウェア開発者は信頼できる第三者からの評価によって自身のブランドを確立します。正規のベンダは、テスト企業、業界雑誌、その他の関連組織による評価を引用することでブランド力を強化します。一方、アンダーグラウンド市場のベンダは、オンライン掲示板への著名ユーザによる書き込みを引用し、「ユーザXとYが推薦しています」のようなうたい文句を利用します。このために、ある書き込みがどのユーザによるものかを特定し保証するシステムを定期的に利用します。多くの場合、製品を販売するスレッドに対する初期の投稿の一部は、著名ユーザが自身の経験に基づいてソフトウェアの妥当性や品質を保証する内容となっています。
匿名での支払い方法
アンダーグラウンドの開発者は、多くの場合、「Bitcoin(ビットコイン)」やインターネットバンキングサービス「Perfect Money」のような、匿名かつ追跡不可能な方法による支払いを受け付けており、製品を紹介するコンテンツにはこれらの仮想通貨やサービスのロゴが確認できます。ビットコインの他にも、「Monero」、「Ethereum(Ether)」、「Bitcoin Cash」などのその他の仮想通貨も利用されています。通常の支払い方法を受け入れている開発者もいるかもしれませんが、危険を伴うそのような支払い方法はあまり一般的ではないでしょう。
無料試用版の提供
ベンダの中には、ソフトウェアの試用版ライセンスによって潜在的な顧客に製品を体験する機会を与えているものもあります。ただし、試用版ではすべての機能が利用できるわけではありません。
キャンペーンとプロモーションの利用
アンダーグラウンドの開発者は、製品の販売促進のために「プロモ」や期間限定のキャンペーンを提供することがあります。これは、正規ソフトウェアベンダおよび一般企業でも非常に一般的な販売促進手法です。
図6:クーポン割引によって販売促進を図る広告
■まとめ
本記事で紹介した事例から、アンダーグラウンド市場で攻撃者にソフトウェアを販売している開発者は、「影の裏取引」に頼る非組織的な個人ではないことが伺えます。実際、そのような開発者の多くは、主流のソフトウェアメーカーが顧客に働きかける方法と似た形でソフトウェアを宣伝しています。
また、本職のサイバー犯罪者と、サイバー犯罪に利用可能なソフトウェアの開発者を区別することも重要です。サイバー犯罪者の活動は完全に違法であり、単なるソフトウェア開発にとどまらず、資金洗浄(マネーロンダリング)やマルウェア拡散のようなはるかに多くのことが含まれます。そして、そのような複雑な活動からより高額な収入を手にします。対照的に、ソフトウェア開発者は、自身で作成したソフトウェアを販売することで収入を得る個人店のような存在です。事業を継続するためには、サイバー犯罪者たちに対して自身で販促活動を行う必要があります。
これらの開発者は、直接攻撃を実行しているわけではないものの、刑事上の過失と捉えられるような行いについては、多くの点で非難に値します。加えて、そのような開発者は、自身が何をしているのかをよく理解しています。これは、アンダーグラウンドの犯罪者との強い結びつきからも明らかです。攻撃ツールの販売によって収入が発生する限り、そのようなツールの開発者は存在し続けることが予測されます。
参考記事:
- 「Examining the Thriving Underground Software Business」
by David Sancho (Trend Micro Research)
翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)