アンダーグラウンド市場の性質を考慮すると、サイバー犯罪者は元より、通常の犯罪者までもがオンライン掲示板で情報を交換し、商品やサービスを販売していることは驚くべきことではありません。本記事では、アンダーグラウンド市場で確認された物理的犯罪に利用可能なツールについて解説します。
■人気商品:自動車改造ツール
アンダーグランドのオンライン掲示板を監視する中で、トレンドマイクロは、自動車に関連したツールを販売する多くの広告を確認しました。その1つに、自動車メーカーによる物理的なセキュリティの仕組みを回避し、センサーの情報に基づいてエンジンの動作を決定する「エンジン制御モジュール(Engine Control Module、ECM)」のファームウェアを更新したり再プログラミングしたりといった管理タスクの実行が可能だとするツールがありました。この広告は、ファームウェアの更新により、専用の鍵以外ではエンジンを始動できないようにする「イモビライザー」の回避を主な機能として宣伝していました。この不正モジュールの販売価格は、約450米ドル(2019年2月18日時点で約49,740円)でした。
図1:製品が有効に機能することを証明する動画
これらのツールは、対象となる自動車に物理的に接触する必要がありますが、留意すべき点が2つあります。第一に、侵入経路となる脆弱性が存在する場合、理論上、同様の攻撃を遠隔から実行することが可能だということです。実際に、社内エンターテインメントシステムに脆弱性が存在する場合、車載機器ネットワークの通信規格「Controller Area Network(CAN)」に無線でアクセスできることが実証実験で示されています。第二に、ECMはエンジンを制御する「脳」の役割を担っているため、上述したツールに、2017年8月の記事で解説したようなCAN通信から車載機器を切断するような機能が含まれていた場合、そのような攻撃は人命を脅かすものになりかねません。サイバー犯罪者が、マルウェアを拡散する手段として、違法にコピーまたはクラックした有料ソフトウェアを利用することを踏まえると、彼らが同じような手口で車載ソフトウェアを悪用することも十分可能でしょう。Deere & Company(John Deere)製トラクターのユーザが、自身で修理や機能追加を行うためにウクライナ製の海賊版ファームウェアを利用していることが問題となった事例に見られるように、エンドユーザが自身で入手したバージョンを使って正規ファームウェアを更新したいと考える場合、サイバー犯罪者によって悪用される恐れがあります。
■サイバー犯罪と物理的な犯罪の相乗効果:自動車は理想的な標的?
ここまで見てきたように、サイバー犯罪と物理的な犯罪を組み合わせることでハイブリッド型の犯罪が可能になります。著名人を狙ったサイバー脅迫や、単に人命を脅かすサイバー脅迫のように、さまざまな目的のためのオンデマンド型攻撃サービスがその一例です。トレンドマイクロは、2015年に「Deep Web(ディープWeb)」におけるサイバー犯罪活動を詳しく調査したリサーチペーパーを公開し、暗殺を含むオンデマンド型犯罪サービス事例について解説しています。
自動車はサイバー犯罪と物理的な犯罪を組み合わせたハイブリッド型の犯罪にとって格好の攻撃対象です。製品のライフサイクルが比較的長く、ハードウェアやファームウェアを大規模に遠隔から更新する機能が限られているためです。脆弱性を修正する更新プログラムの配布やインストールがそれほど容易でない場合、脆弱な状態が続き、サイバー犯罪者にとって非常に明確な攻撃対象となります。自動車産業は、インターネットや無線通信ネットワークに接続する自動車「Connected Car(コネクテッドカー)」、さらには自動運転車の実現に向けて取り組んでいます。これを実現するには、より多くのセンサー、車両間の情報交換、「スマート」な道路、そして高度道路交通システム(Intelligent Transportation System、ITS)の全般的なインフラストラクチャが必要となり、それに応じて攻撃経路も拡大します。自動車産業は、「産業用IoT(Industrial Internet of Things、IIoT)」の世界に足を踏み入れています。そのような世界では、自動車に脆弱性が残っていた場合、攻撃者は遠隔からそれを悪用できる可能性があるということです。
図2の書き込みを投稿したユーザは、盗まれたまたは紛失したパスポート、取り付け型の車載警報システム、SIMカードのデータ復旧サービスなど、サイバーおよび物理的な多種多様なサービスを、アンダーグラウンドのさまざまなオンライン掲示板で提供しています。
図2:さまざまなサービスをアンダーグラウンドのオンライン掲示板で提供しているユーザの投稿
図3:販売している製品の詳細について説明した投稿
■「物理的な犯罪」がカテゴリとして成立
今や多くのアンダーグラウンドのオンライン掲示板では、自動車関連の物理的犯罪に関する専用スレッドや独立したサブカテゴリが見られるようになっています。そこでは、偽造文書や、無線通信を解析してコマンドを窃取する「コードグラバー」のようなツールに加えて、信号を傍受して主要自動車メーカーのドアロックを解除する装置などが売買されています。
興味深いことに、このようなオンライン掲示板の販売者は、「自動車」という単語を使うことは稀で、通常、隠語で代替しています。これは警察や法執行機関に対して都合の悪い証拠を提供することを避けるためだと考えられます。使用されている隠語は、それが表す単語とはまったく関係のないものかもしれません。「Siberian Cheese」は、シベリアで盗まれたばかりの車を意味します。何も知らないユーザが読むと、どうしてアンダーグラウンドのオンライン掲示板でチーズが取引されているのか不思議に思うかもしれません。
■まとめ
近い将来、サイバー犯罪と物理的犯罪を組み合わせる方法を探究する攻撃者はさらに増加することでしょう。それに応じて、従来はサイバー犯罪のために利用されてきたアンダーグラウンド市場においても物理的犯罪サービスの増加が見られるはずです。
その理由は2つあります。まず1つは、サイバー犯罪集団は、ますます専門性を高めており、活動範囲と野心の両方で従来の組織的犯罪集団(Organized Crime Groups、OCG)に匹敵するまでになっていることです。多くのサイバー犯罪集団は、さらなる収入源を得るために物理的犯罪に活動範囲を拡大しています。一方で、従来の犯罪集団もサイバー犯罪における利益の可能性を認識しており、サイバー犯罪を扱うために独自の活動を立ち上げ始めています。
2つめは、「モノのインターネット(Internet of Things、IoT)」機器の継続的な増加により、サイバー空間と現実世界の区別が曖昧になり、従来の犯罪とサイバー犯罪の境界が無くなってきていることです。
参考記事:
- 「The Rise of Physical Crime in the Cybercrime Underground」
by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)