トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットに対する監視や調査を行っています。アンダーグラウンドマーケットの最新調査結果に関しては本ブログでも、7月14日、15日、16日に連載記事の形で報告いたしておりますが、今回は更にアンダーグラウンド内で構築されるインフラやサービスの実情を深堀調査した結果についても報告してまいります。本記事では、アンダーグラウンドにおけるマーケットプレイスの内情について詳述し、サイバー犯罪者が集うコミュニティで提供される商品やサービスについて、また、アンダーグラウンドのインフラを利用する売り手と買い手がどのように取引を行っているかについて解説します。
サイバー犯罪を幇助する情報が取引されるアンダーグラウンドでは、サイバー犯罪者によって構築されたインフラがビジネスモデル全体の基盤として提供されています。これらのインフラは、サイバー犯罪者の不正活動を非公開に保つための匿名化サービスや、感染PCを不正に利用するためのコマンド&コントロール(C&C)サーバ、あるいは他の犯罪者とコミュニケーションをとるためのディスカッションフォーラムを構築します。売り手側のサイバー犯罪者は、買い手である他の犯罪者が攻撃を実施するために必要なサービスやインフラを提供します。アンダーグラウンドのホスティングサービスやインフラは、サイバー犯罪者の不正なコンポーネントを隠すための保管場所として利用されます。また、通常サービスプロバイダの介入によって実施される不正なコンテンツの削除や逮捕による活動停止措置を受けることなく、犯罪者に継続的な不正活動の遂行を可能にさせます。具体的には以下のインフラ関連サービスがアンダーグラウンドで提供されています。
■サイバー犯罪者のインフラ:アンダーグラウンドで提供されるサービス
- 専用の仮想ホスティングプロバイダ – 防弾ホスティング、高速フラックスネットワーク、その他のホスティングプロビジョニングなど
- サービス保護および匿名化プロバイダ – 匿名化サービス、トラフィックアクセラレーションサービス、プロキシ、リバースプロキシサービス、VPNなど
- 追加機能のプロビジョニング – ブラウザ内のボットネットサービス、IoTホスティングサービス、通信関連サービス(通話、コールランディング、SMSスパム、ほか)などの使用率が低いインフラ設備のプロビジョニングなど
- 不正な目的で使用または侵害された正当なサービス/システム – クラウドサービス、動的DNSホスティング、SSL証明書のプロビジョニングなどの無料サービスなど
■アンダーグラウンドで提供されるホスティングサービス
アンダーグラウンドで提供されるホスティングサービスには、防弾ホスティングやプロキシから、構築に用いるインフラ設備のプロビジョニング、ドメイン名のプロビジョニング、ファストフラックス(Fast-Flux)用インフラ、トラフィックアクセラレータ、仮想または専用サーバ、および仮想プライベートネットワーク(VPN)が含まれます。
アンダーグラウンドの利用者はこのようなホスティングサービスにより、インターネットへのアクセス制限を回避したり、匿名性を維持したり、あるいはフォレンジック調査を困難にさせたりすることができます。そのほかホスティングサービスが頻繁に利用される理由は以下のとおりです。
- サイバー犯罪者が不正なコンポーネントを組み込むため
- サイバー犯罪集団が活用する通信システム機能を促進するため
- C&Cインフラ設備を展開するために必要なボットネットを構築するため
- スパム送信者がスパムを拡散するためのシステムサーバを構築して実行するため
- コミュニケーションプラットフォームを運用管理するために必要なアンダーグラウンドフォーラムを構築するため
構築されたインフラ設備(サーバ)は、フィッシングメールを送信するために利用されたり、オンラインショップ上での違法な商品の取引、あるいは攻撃の開始地点として使用可能な仮想プライベートシステム(VPS)を構築する際に利用されたりします。興味深いことに、このようなサービスは、オンラインベッティングやオンラインマーケティング、検索エンジン最適化(SEO)に関連するフォーラム上でも利用が確認されました。これらのサービスは、検索エンジンの動作に影響を与えるためのクリックを生成する目的に利用されます。
トレンドマイクロはさらに、ロシアのソーシャルネットワーク「VKontakte.ru(VK)」や、TelegramまたはWhatsAppなどのオンラインメッセンジャプラットフォーム上で、上記のようなホスティングサービスを宣伝するために利用されたチャットグループを確認しました。弊社は、サービス提供者の利用する同一の連絡先情報によってアンダーグラウンドフォーラムおよびソーシャルネットワーク上の広告を関連付けることができました。これは、サイバー犯罪者が違法な商品をアンダーグラウンド内でのみ販売するという既存の概念に反しています。またサイバー犯罪者は、彼らのマーケットプレイスを「Surface Web(サーフェスウェブ、表層ウェブ)」上にも反映しています。
これがサイバー犯罪者の集うアンダーグラウンドマーケットの実情であり、さまざまな技術レベルを持つサイバー犯罪者が提供するサービスや不正な取引が横行するコミュニティによってアンダーグラウンドフォーラムは確立されています。アンダーグラウンドのマーケットプレイスは、正当なビジネスモデルを反映させる形で、その構造を進化させ発展させてきました。売り手側は、PayPalのような電子決済サービス、MasterCard、やVisaのような一般的なクレジットカード、およびビットコインのような暗号資産など、一般社会でも利用される支払い方法を受け入れる綿密なビジネスモデルと収益化システムを開発しました。
アンダーグラウンドで提供される製品は多種多様です。クレジットカードダンプやスキミングツールなどアンダーグラウンドではよく目にする製品のほか、専門ショップ内ではハッキングサービスが豊富に展開され、専用サーバやSOCKSプロキシ、あるいはVPNや分散型サービス拒否(DDoS)保護などが提供されています。
「商品」はアクセスタイプ、国あるいは場所、ハードウェアプロパティ、
およびネットワーク機能によって分類されています
■購入者向けに宣伝されるサイバー犯罪用インフラサービス
トレンドマイクロは、一般のホスティングサービスが公認する再販業者(リセラー)がアンダーグラウンドフォーラム内で広告を掲載していることを確認しました。これらのホスティングプロバイダは正当な顧客を持ち、インターネット上で宣伝活動を行います。ただし、いくつかのリセラーは、企業からの認可の有無にかかわらず、アンダーグラウンド内でサイバー犯罪者に対応しています。サイバー犯罪者も優れた機能と謳われるサービスを利用したいと望んでいるため、これは驚くべきことではありません。
弊社は、ホスティングプロバイダからの参照リンクを共有してコミュニティから紹介金を得るサイバー犯罪者を発見しました。一方、ホストを利用するサイバー犯罪者間では、ホストの匿名性や不正利用報告への対処有無などについて情報交換が行われています。
「防弾ホスティング」とは利用者の匿名性を守るホスティングサービスです。
通常は不正使用に関する報告や法執行機関の調査にも
対応しないため、サイバー犯罪の温床になっています。
サイバー犯罪者は自身の居所を隠すためにVPNやプロキシサービスを利用しています
■サイバー犯罪者が売買に利用するソーシャルメディアプラットフォーム
他のあらゆるビジネスと同様に、アンダーグラウンドで販売活動を行うサイバー犯罪者も潜在的な購入者に対して宣伝活動を行います。売り手側は、チャットチャネル、ハッキングフォーラム、ソーシャルメディアへの投稿など、さまざまなプラットフォームを使用して自身の製品やサービスを宣伝しています。またTelegramのようなメッセンジャーサービスは、アンダーグラウンドフォーラム内で宣伝されているサービスの連絡窓口となっています。場合によっては、広告サービスのプラットフォームとして使用されます。専用チャットやボットは、サーバ、あるいはRDPアクセスやVPNを備えたホストサーバなど、他に侵害した資産を販売するために利用されます。
サーフェィス上のソーシャルメディアにおける宣伝の例として、ソーシャルメディアのVK上で宣伝されているホスティングサービスを確認しました。このサービスは、Masscan、Nmap、およびZMapを介してブルートフォース(総当り)攻撃を実行したり、インターネット上に存在する全アドレス空間のスキャンを実行したりするのに適したサービスとして、アンダーグラウンド内では認識されています。またTwitter上の検索でも、防弾サービスに関する広告を見つけることができました。企業組織、情報セキュリティに携わるコミュニティ、および法執行機関は、サイバー犯罪に対処しリスクを軽減させるために、このようなアンダーグラウンドに対する意識を高めることが重要です。
本ブログ記事の調査結果についてより詳しく知りたい方は以下のホワイトペーパー「The Hacker Infrastructure and Underground Hosting : An Overview of the Cybercriminal Market(英語)」もご参照ください。地下経済の仕組みと、オンライン上にサイバー犯罪者が構築するインフラ設備基盤に関する洞察について解説します。
参考記事:
- 「HACKER INFRASTRUCTURE AND UNDERGROUND HOSTING 101」
By Vladimir Kropotov, Robert McArdle, and Fyodor Yarochkin, Trend Micro Research
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
