「ニューノーマル」と「未来予測」:アンダーグラウンドマーケット最新事情

「アンダーグラウンドマーケット最新事情」連載、最終回の今回は、トレンドマイクロが2019年に行ったアンダーグラウンドマーケットの最新調査の結果から、アンダーグラウンドマーケットで扱われている商品やサービスに関する新たな傾向と近い将来に起こりえる変化の予測について報告します。

(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)

図:「MIRAI」から派生したIoTマルウェア「SATORI」を使用したボットネットの販売例

■アンダーグラウンドマーケットの「ニューノーマル」

アンダーグラウンドマーケットではIoT関連への関心が拡大しており、スマートスピーカなどの様々なスマート家電、ホームネットワークの要であるルータ、ICSやSCADAなどを含む産業用IoT(IIoT)関連、ドローン、そしてMiraiのようなIoTボットなどが扱われるようになっています。特にIoTボットはアンダーグラウンドマーケットで扱われるマルウェアの「ニューノーマル(新常態)」と言えます。同じマルウェア関連での新たな動きとしては、「Malware-as-a-Service(MaaS)」」に代表されるサービス化の流れが遠隔操作にも及び、侵入した法人組織への遠隔操作の権利を貸し出す「Access-as-a-Service(AaaS)」が拡大しています。また、これまではほとんど流通が見られなかったATMマルウェアの販売も新たに確認され始めました。

その他、5年前の調査時と比較してアンダーグラウンドでの関心が拡大している項目としては、ゲーム関連の商品やサービスもあります。ネットゲームのアカウントをはじめ、チートツールやゲーム内で使用するスキンなどの売買が活発です。SIMカードの乗っ取りサービスや、フェイクニュースの拡散などで使用されるソーシャルメディア操作のサービスは、以前に比べ一般化が進んでいます。最新調査の時点で、人工知能(AI)技術が直接的にマルウェアやサイバー犯罪に使われている証拠は見つかりませんでしたが、アンダーグラウンドの関心は高まっており登場は時間の問題と言えます。

IoT関連(マルウェア、ボットネット、デバイス)
内容 価格
一般的なIoTボットネットのレンタル 10ドルから
最新版を使用したIoTボットネットのレンタル 週500ドルから
IoTボットネットによるDDoSサービス 20ドルから
オリジナルMiraiのソースコード 無償

トレンドマイクロの2019年のレポートの中では、サイバー犯罪者のアクティブな収益化スキームにIoTデバイスがいかに取り込まれているかを取り上げました。今回の調査の中ではIoT関連の中でも特にIoTボットネットがアンダーグラウンドマーケットの新たな定番商品となっていることが確認できました。アンダーグラウンドマーケット調査の中で確認したほとんどのIoTボットは、過去に公開されたMiraiもしくは改造された亜種のソースコードから派生したものと言えます。実際、オリジナルのMiraiのソースコードが2016年に公開された後、様々な派生種のソースコードの暴露が確認されており、現在でも無償で手に入る場合があります。また、IoTボットネットの提供サービスには防弾サーバのサービスが付帯している例も確認できました。

図:Mirai系のIoTボットネットによるDDoS攻撃サービスの販売例
図:ポートスキャナーの活動を追加した新型のMirai亜種のリーク(暴露)例
■「Access-as-a-Service」の拡大

RATやボットなどで侵害した機器やネットワークへの「アクセス権」の提供は以前から見られていましたが、近年では「サービス化」が進んでおり「Access-as-a-Service(AaaS)」とも呼ばれています。単純なリモートデスクトップ(RDP)アクセスの提供は数年前から見られていましたが、メールアカウント、WebサイトやECサイト、露出したデータベースやストレージ、法人組織ネットワークへの侵入、エグゼクティブレベルの認証から読み取りのみや書き込み可能な権限まで、様々なレベルのアクセス権の販売が最新調査の中で確認できました。

これらのAaaSの多くは、ロシア語フォーラムの「exploit」で提供されていました。例として、ある販売者は米国の保険会社ネットワークへのアクセス権を約2,000ドル(21万4,000円)、欧州のソフトウェア会社へのアクセス権を約3,000ドル(32万1,000円)で販売していました。特に有名企業のネットワークへのアクセス権は高額になり、フォーチュン500に分類される企業のアクセス権は最高10,000ドル(107万円)で販売されているものがありました。

AaaSの拡大は昨今のサイバー攻撃の複雑化を示しています。現在では、最初に侵入しバックドアを構築した攻撃者と、最終的に情報窃取やランサムウェア感染という実被害を引き起こした攻撃者が異なる可能性があるということです。例えば、日本も含め世界的にメール経由での感染拡大が見られている「EMOTET」の攻撃者も、アクセス権の販売を行っていることで知られています。このような不特定多数に対する攻撃を受けた場合であっても、最悪の場合、複数の攻撃者が入れ替わりで侵入して大きな被害を受けたり、事後調査が困難化したりする可能性があります。

図:フォーチュン500企業へのアクセス権の販売例
図:オンラインストアへの管理パネルへのアクセス権の販売例
ATMマルウェア
内容 価格
ATMマルウェア 2,000ドルから

トレンドマイクロでは欧州刑事警察機構(ユーロポール)との協力などを通じ、ATMマルウェアの動向を追い続けています。ATMマルウェアは、文字通り金融機関のATM機器に感染させることで、利用者の認証情報を収集したり、ATMから金銭を自由に引き出せるようにしたりするためのものです。その特殊性からか、これまではアンダーグラウンドでの流通はあまり見られていませんでした。しかし2019年にはアンダーグラウンドでの商品化が進み、Cutlet Maker, Hello World, WinPotなどのATMマルウェアが、ロシア語フォーラムを中心に2,000ドル(21万4,000円)前後で流通していたことを確認しています。

図:ダークウェブの闇市場で確認したATMマルウェアの販売例
■ゲーム関連
内容 価格
人気ゲームの希少なアカウント 約1,000ドル

ゲーム関連の商品やサービスは、以前より関心が拡大している項目の1つです。中心はネットゲームのアカウントですが、その他にもAimbotWallHackなどのチートツールに加え、一般に「スキン」と呼ばれるゲーム内で使用するキャラクタのデザイン関連サービスの販売が目立っています。中でも、人気ゲームフォートナイトの希少な限定版スキンを含むアカウントはおよそ1,000ドル(10万7,000円)で販売されていることが確認できました。

図:人気ゲーム「フォートナイト」のアカウントの販売例
SIMカード乗っ取りサービス

SIMカードに関連するサービス、中でも「SIMジャック」、「SIMスワップ」と呼ばれるSIMカードの乗っ取りに関する書き込みが、各種アンダーグランドフォーラムで散見されるようになってきています。SIMカードは、個々の携帯端末とその利用者を証明するための情報の1つとなっています。そのため、誰かが使用しているSIMカードを複製して乗っ取ることにより、その利用者の個人情報の窃取や、利用している様々なサービスの二要素認証突破に利用できます。特に法人利用者の場合、その法人組織のシステムに侵入したり、データにアクセスしたりできる可能性もあります。

多くの場合、サイバー犯罪者は携帯電話事業者を騙してSIMカードを再発行させるなどの方法で乗っ取ります。また、事業者内部に協力者がいる場合もあるようです。現在のところ、SIMカード関連サービスの提供はロシア語フォーラムが中心的であり、他の言語のフォーラムではあまり見かけられません。内容としては、乗っ取り方法の無料チュートリアルから、各地のSIMカードの乗っ取り代行まで様々です。現時点ではフォーラム上の書き込みでは価格については明示されていないことから、まだ価格相場は醸成されておらずプライベートメッセージのやり取りにより価格交渉が行われる段階のようです。

図:ロシア語フォーラムにおける、SIMスワップサービス提供の書き込み例
図:ロシア語フォーラム内でSIMスワップサービス提供者を探す書き込みの例
■フェイクニュース/サイバープロパガンダ関連
内容 価格
米国の有権者リスト 無償から9.99ドル
米国以外の国の有権者リスト 9.99ドルから400ドル
インスタグラムの1,000いいね 0.015ドルから
Facebookの1,000いいね 3ドルから
Twitchの50いいね 0.5ドルから
インスタグラムの1,000フォロワー 6ドルから
Twitterの1,000フォロワー 9ドルから
YouTubeの1,000チャンネル登録者 26ドルから
ソーシャルメディ用ボット 25ドルから
サイトの新規訪問者20,000件 5ドルから

2017年に行ったフェイクニュースとサイバープロパガンダに関する調査では、世論や評判を誘導するための費用対効果が高い手段として、様々なソーシャルメディアの操作が利用されている実態が明らかになりました。そして2019年に入り、これらのソーシャルメディアを操作するためのサービスは、アンダーグラウンドマーケット内でより一般的に見られるようになっています。

いいね!やリツイート、コメント、フォロワーなどを集めるために、サイバー犯罪者はボットアカウントや乗っ取ったアカウント、または実在の利用者の協力を集めるクラウドソーシングサービスなどを利用しています。ロシアのVKTargetはクラウドソーシングサービスの例です。利用者は簡単なミッション、例えば特定のYouTubeチャンネルに登録するなど、を実行していく事によりポイントを獲得し、金銭と引き換えたりすることができます。ソーシャルメディア操作の価格は、自動化されたボットは安い、実在のアクティブな利用者の場合は高いなど、操作手法の「品質保証」によって決まります。調査の中でインスタグラムやFacebookの1,000いいね!は概ね3ドル(321円)前後で提供されていましたが、たった0.015ドルつまり1.5セント(約1.6円)という安値で販売されているものもありました。特に、ロシア語のアンダーグラウンドマーケットでは2017年以降、他のマーケットより安い価格でサービスが提供されています。

図:いいね!やフォロワーなど各種ソーシャルメディア操作の販売例
図:インスタグラムの1,000いいね!を0.015ドルで販売するとする広告の例

政治に影響を与えるサイバープロパガンダの対象として、各国の有権者リストも商品として出回っています。過去のリストは無償で入手可能なのに対し、2019年のトルコの有権者リストは400ドル(42,800円)、米国各州の有権者リストは州によって約10ドル(1070円)で販売されていました。あるアンダーグラウンドフォーラムでは、2015年から2019年にかけて漏洩した情報を集積したものと考えられる300件を超えるデータベースへのリンクがありました。これらのデータベースには個人情報(PII)、クレジットカード情報、社会保障番号、電子メールとパスワードなど合わせて50億エントリの情報が含まれていました。

このような情報は、フィッシングなどのサイバー攻撃から、誤った設定による情報の露出のような事故など、様々な経路で流出し、サイバー犯罪者に収集されます。例として2017年には、データ分析会社が使用するクラウドストレージの誤った設定により1.1テラバイトに及ぶデータがアクセス可能になっていることが明らかになりました。このデータには米国全人口の約62%にあたる2億人分の住所や電話番号の他、誕生日から政治信条までが含まれていました。

図:ダークウェブ上の闇市場で確認した米国各州などの有権者リストの販売例
■人工知能とディープフェイク
内容 価格
ギャンブルボット 0.01ビットコインから
スポーツベッティング 30ドルから
キャプチャ突破サービス 週9ドルから
AI関連書籍 無償
ディープフェイク画像 2.5ドルから
ディープフェイク動画 50ドルから
ディープフェイク作成ソフト 25ドルから

様々な脅威予測の中では、進化を続ける人工知能(AI)技術がサイバー犯罪に応用されてしまうことが懸念されています。ただし、現在のアンダーグラウンドの状況は、まだその段階にないようです。最新のアンダーグラウンドフォーラム調査では、AI技術自体を解説する書籍の販売や無償提供、AIに関する情報を求める問い合わせが見られています。またAIの使用を謳うサービスに関しては、ギャンブルボットやスポーツベッティング予測などのギャンブル関連サービス、キャプチャ認証の突破、ディープフェイクによる画像や動画の作成サービスが確認できましたが、直接的にサイバー犯罪と関連するようなサービスはまだ見受けられていません。

図:特にネットゲームで使用されているキャプチャを突破するサービスの販売例
図:スポーツベッティング予測サービスの販売例

ギャンブルボットサービスの広告では「高度なAIエンジン」の使用が言及されており、基本的な1か月のサブスクリプションで0.01ビットコイン(1万円)前後から利用可能です。このLuckybotと呼ばれるギャンブルボットは、AIを使用してサイコロの回転パターンを予測するとしています。

図:ギャンブルボットの販売例

ディープフェイクは、AIを応用し、実物の音声や画像を元に、本物そっくりの画像や会話、動画などを作成する技術です。現状アンダーグラウンドでは、ディープフェイクを使用した画像や動画の作成サービスが見られています。また、これらのディープフェイクサービスをセクストーションなどの脅迫・恐喝手法で使用する可能性に関する議論や情報交換も見られました。一般的なセクストーションでは、被害者の性的な画像や動画を家族や友人に公開する、として脅迫しますが、中には実際には画像や動画が存在しない詐欺的な脅迫の場合もあります。そのような場合でも、「証拠」としてディープフェイクで作成された画像や動画を使用することで、被害者に圧力をかけることが可能です。また、ディープフェイク画像や動画を表示すると同時に、金銭支払いまでのカウントダウンを行って被害者を追い詰めるようなランサムウェアの登場も考えられます。その他には、特定の著名人の評判や信用を棄損するためのフェイクニュースでの利用が論じられていました。

図:ディープフェイク技術の詐欺への応用について述べている
スペイン語フォーラム上のトピック例
図:ディープフェイク画像・動画作成サービスの広告例
■アンダーグラウンドマーケットの「未来予測」

これまでの連載を通じて述べてきた現状と変化を元に、これからの3~5年間に起こるであろうアンダーグラウンドマーケット動向の予測をもって、本連載のまとめとします。

  • ディープフェイク技術を利用した脅迫やランサムウェアの登場
    現在、アンダーグラウンドにおけるディープフェイク技術の用途は、有名人のアダルト画像/動画の作成が主ですが、今後はその対象を一般人にまで広げ、脅迫や恐喝の用途に使用されるでしょう。また、ディープフェイク画像や動画を元に身代金を要求するランサムウェアが登場し、従来型のランサムウェアよりも高い値段で取引されるでしょう。
  • IoTを利用した新たな「ビジネスモデル」が確立
    これまで、「Mirai」に代表されるIoTマルウェアの使用用途としては、DDoS攻撃が主でした。今後は、情報窃取、データ傍受、諜報活動、恐喝や脅迫などの更なる悪質な活動がIoT機器を踏み台にして行われるようになるでしょう。
  • 「スマートコントラクト」の普及
    失われたアンダーグラウンドマーケットの信頼を取り戻す方法として、ブロックチェーン技術を利用したスマートコントラクトが登場します。これにより売り手も買い手も、評判や信頼を確立する必要なく、お互いに欲しいものを確実に得ることができるようになります。
  • アフリカでサイバー犯罪被害が増加
    これまでのリサーチでは、アフリカを拠点として世界各地でビジネスメール詐欺や税務詐欺、ロマンス詐欺(出会い系詐欺)を行うサイバー犯罪者グループの存在がわかっています。また、銀行のインフラを攻撃しATMを侵害するグループも確認されています。今後も増加を続けることが見込まれるアフリカのインターネット利用者およびモバイル利用者は、彼らサイバー犯罪者にとって格好の標的となるでしょう。
  • SIMジャック」の増加
    携帯電話事業者を騙すSIMカードの乗っ取りサービスは、今よりも活発になります。SIMカードの乗っ取りにより様々な二段階認証を突破できるようになるため、企業の最高責任者や重役たちが狙われるようになるでしょう。

「アンダーグラウンドマーケット最新事情」2020

  1. 信頼を失った闇市場
  2. 「商品」と「価格」の変化
  3. 「ニューノーマル」と「未来予測」(本記事)