アンダーグラウンドのオンライン掲示板を利用する個人や集団の多くは、取引が確実に行われることを保証するために多大な努力を払っています。問題が発生した際の仲裁はもちろん、身元審査や、第三者が取引を仲介するエスクロー制度および預り金など、相互監視による「抑制と均衡(チェック・アンド・バランス)」の制度によってアンダーグラウンド市場は運営されています。皮肉なことに、アンダーグラウンドのオンライン掲示板においても、一般のオンライン掲示板と同様の「礼儀正しく倫理的な行動」を定めた規則が厳しく適用されています。本記事では、長期的な信頼と短期的な利益という観点からアンダーグラウンドにおけるサイバー犯罪者の振る舞いについて解説します。
■アンダーグラウンド市場における信頼
アカウントの序列
ほとんどのアンダーグラウンドのオンライン掲示板にはアカウントの序列が存在します。この序列は、多くの場合、アカウントの利用年数、活動レベル、評判、問題のある取引を埋め合わせるための預り金の額のように、いくつかの基本的で測定可能な指標に基づいて決定されます。
図1:オンライン掲示板におけるアカウントの序列
(右のアカウントほど序列が高い)
規則違反に対する罰則
通常、序列トップの管理者とモデレータが規則の作成と実施に責任を負っています。彼らは、アカウント利用者が書面または暗黙の規則に違反した場合、アカウントの禁止や停止、または違反アカウントであることを示すタグを付けるなどの厳しい処罰を下します。
図2:禁止された違反アカウントの例
違反者のアカウントは無条件に禁止されるわけではありません。モデレータには、規則に対する違反や、サービスまたは製品が提供されていないという証拠と共に提出された他のユーザからの苦情など、禁止事由の説明が求められます。オンライン掲示板の利用者にとって、一度「トラブルメーカー」や「信頼できない」というレッテルを貼られてしまうと、損なわれた評判を回復するのは一般的に困難です。従って、信頼できるコミュニティの一員であり続けるためには、規則に忠実である必要があります。
図3:苦情が提出された旨を報告する管理者アカウント
オンライン掲示板利用者の中には、複数のアカウントを「評判を必要とする取引用」や「一時的な目的用」のように用途に応じて使い分けることで、この問題に対処しようとしている者もいます。
■長期的な信頼よりも短期的な利益を追求する詐欺師
ツールやサービスの金銭化が主な原動力であるアンダーグラウンド市場は、多くの面で金融市場と対比することができます。金融市場には、優良株に投資して長期的な利益を目指す投資家もいれば、空売りなどの手法を駆使し時には評判の悪い策略に訴えながら短期で勝負する投資家もいます。アンダーグラウンド市場にも、後者と同様に「手っ取り早く儲ける手口」を販売するユーザがいます。そのような手口は、合法と称しつつ実際はグレーやブラックであることも多く、アカウントの評判は酷いものとなる傾向があります。
図4:合法(ホワイト)とうたった手口を販売する広告
前提条件、準備に必要な時間や費用、期待される収入などの情報が確認できる
これらの詐欺師はたびたび無料のツールやサービスを宣伝しますが、実際にそれらのサービスが宣伝通りのものであることは稀です。例えば、トレンドマイクロが確認した広告の1つに、ATMに「ジャックポット」攻撃を仕掛ける無料ソフトウェアを販売するものがありました。しかし実際は、リンクをクリックすると情報窃取型マルウェアが埋め込まれた外部サイトに誘導する偽広告でした。
アンダーグラウンドのオンライン掲示板にはこのような広告が蔓延しており、不正資金の受け取りや引き出しを行う「マネーミュール」、資金洗浄(マネーロンダリング)、還付金詐欺、恐喝など、さまざまな手口が販売されています。そのような手口には、オンラインで完結するもの、ショッピングモールでの偽の回線契約販売のようなオフラインのもの、そしてそれらの中間に位置するセミオフラインのものがあります。
■「お金儲けガイド」の実際
アンダーグラウンドのオンライン掲示板でよく販売されている手口に、手順を詳しく説明した「お金儲けガイド」があります。このようなガイドは、すべてが違法ではないものの、当然ながら詐欺的な性質を持つものがほとんどです。活動の規模が大きくなると検出される恐れがあることから、通常、このようなガイドの販売数は限定されています。
これまで、このようなガイドはオンライン掲示板を通して配布されてきましたが、最近では匿名性を持ったメッセージングアプリ「Telegram」がサイバー犯罪者の間で人気を博しています。サイバー犯罪者は、オンライン掲示板などの別の方法で販売する前に、チャンネルと呼ばれる掲示板をTelegramに作成し、宣伝します。
トレンドマイクロは、これらのガイドを監視する中で非常に興味深い文書ファイル(「TROJAN.WIN32.FAKEMS.SK」として検出)を確認しました。この文書ファイルは、「スポーツ賭博における裁定取引の方法」について、導入、準備、手順、FAQという章立てで詳細に説明しており、疑いを持たない読者にとっては非常に包括的なガイドに見えるようなものでした。しかし、実際は本物のガイドを装った外見の下に不正なファイルが隠ぺいされていました。
ロシア語で書かれたこの文書ファイルは、ソーシャルエンジニアリングの手法を利用し、無料のVPNアプリケーションと偽った添付ファイル「HideMe guard.exe」をクリックしてインストールするようにユーザを誘導します。この添付ファイルをクリックすると、ユーザに実行の可否を確認する警告メッセージが表示されます。
図5:不正ファイル「HideMe guard.exe」をクリックすると警告メッセージが表示させる
ここで「OK」をクリックしてファイルを実行すると、期待通りに無料のVPNアプリケーションがインストールされる代わりに、ユーザのPCはボット型不正プログラム「ACRUX」(「COINMINER.WIN32.ACRUXMR.A」として検出)に感染しボットネットの一部とされてしまいます。
図6:感染PCのミューテックスをチェックし、「ACRUX」が既に実行されているかどうか確認するコード
ACRUXの主なペイロードは仮想通貨発掘マルウェアで、コンポーネントはコマンド&コントロール(C&C)サーバからダウンロードされます。さらに、ACRUXは、感染PCから認証情報やその他の情報を窃取し、ユーザに二重の打撃を与える可能性があります。
■まとめ
アンダーグラウンドのオンライン掲示板には、表面的には倫理規定が存在するものの、コミュニティ内での詐欺行為も確認されています。概して、これらの詐欺行為を行うのは、評判よりも短期的な利益を優先する詐欺師です。本記事を通して見てきたように、目的に応じて信頼と利益を天秤にかけるサイバー犯罪者の倫理なき行動はアンダーグラウンド市場の本質的な縮図となっていると言えるでしょう。アンダーグラウンド市場は、依然として、サイバー犯罪者やその他の悪徳な参加者が、攻撃ツールやサービス、アイデアなどを交換し合う場所として存在しています。アンダーグラウンド市場が向かう先は常に金銭であることを考えると、今後、何らかの変化があるとしてもそれは金銭を目的としたものになるでしょう。
■侵入の痕跡(Indicators of Compromise、IoCs)
不正な文書ファイル(Trojan.Win32.FAKEMS.SK)のSHA256値は以下の通りです。
- 1d26b77a30f54638e73efa86603afdcef01861d4af6f7f7359575774417e1add
ボットネット「ACRUX」(Coinminer.Win32.ACRUXMR.A)のSHA256値は以下の通りです。
- 5fc1d1c152760aea6912e4378f2c5041e1ed189c67f293ec461a9216e2c88054
参考記事:
- 「Your Word is Your Bond: Trust and Ethics in Underground Forums」
by Vladimir Kropotov, Fyodor Yarochkin and Michael Ofiaza (Trend Micro Research)
翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)