ホーム » その他 » 闇市場で取引されるインフラの現状について解説

闇市場で取引されるインフラの現状について解説

投稿日:2021年1月13日
脅威カテゴリ:その他, サイバー犯罪
執筆:Trend Micro

サイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。

サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。

トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。

図1：サイバー犯罪者も使用する「専用仮想プライベートサーバ」をホストするウクライナのデータセンター
出典：ウクライナの公式YouTubeチャンネルのセキュリティサービス

■サイバー犯罪者が取引するインフラの主力商品

サイバー犯罪のビジネスモデルはさまざまです。取り扱われる商品には通常、専用あるいは侵害された設備資産などのほかに、再取得可能なドメイン名のプロビジョニングや匿名化サービスが含まれます。トレンドマイクロの調査結果では、主要なサービスカテゴリの一部のほか、サイバー犯罪者がさまざまなインフラサービスを利用して他のサイバー犯罪者からの攻撃や法執行機関による調査から防御する新たな手法についても明らかにしました。下記より、アンダーグラウンドで日常的に取引されている不正なサービスについて示します。

専用ホスティングサービス

上述のブログ記事では、専用の防弾ホスティングサービスの調査結果について報告しました。Webホスティングサービスは、さまざまな不正活動の足場として提供されます。専用サーバは、公権力による活動停止措置を回避するため、または不正コンテンツが削除される措置に対しても高い耐性を必要とするサイバー犯罪の枠組みを構成する際に利用されます。

専用の仮想プライベートサーバ（VPS）は、ボットネットのコントロールパネルやフィッシングページなど、サイバー犯罪者が攻撃に利用するインフラストラクチャコンポーネントを構築するために使用されるか、他のインフラに安全にアクセスするための「踏み台サーバ」として利用されます。サイバー犯罪者は、サイバー空間に対して比較的寛大な法的枠組みを持つ国で「自身が提供するサービス専用」にインフラを構築することがあります。これらのインフラは、大規模な営利団体が提供するサービス内に構築されるものではなく、私有地の片隅の部屋にあるサーバのラックなどに構築され、サービス利用者であるサイバー犯罪者に提供されます。

図2：最新のFast-Fluxネットワークにおけるホスティングサービスの料金比較の一例

高速フラックス（Fast-Flux）ネットワークのインフラを使用することでサーバの場所を絶えず変更できるため、運用の中断を余儀なくされる事態においても対応力を高めることができます。また、バックエンドプールを配置する高速フラックスサービスの場合は、高可用性を備えたIPアドレスのプールを確保する必要があるため、通常の防弾ホスティングサービスよりも運用コストが高くなります。

■侵害されたホスティングサービス

正規Webサイトの悪用や侵害行為は、アンダーグラウンド内ではごく日常的なものです。サイバー犯罪者は自身の提供するサービスをサポートするために、自身がこれまでに侵害し収集してきた感染PC端末にますます依存するようになっています。一部のサービスでは侵害したWebサイトを再販しています。そして、購入者である別のサイバー犯罪者によってフィッシングページのランディング、エクスプロイトキットのホスティングページ、あるいは検索エンジン最適化（SEO）の始点として悪用されます。

図3：専用サーバとして使用される感染PC端末：侵害されたRDPへのアクセス権を販売する不正サイト

侵害された正規Webサーバは、犯罪者の収益化ライフサイクルにおいて少なくとも1つの手順においてはホスティングに使用されます。インターネット上に露出したサーバは、サーバソフトウェア内に存在する脆弱性、ブルートフォース（総当り）攻撃や辞書攻撃、あるいは電子メール経由で拡散するフィッシング攻撃を介して侵害されます。侵害されたWebサーバは、オンラインポータル、アンダーグラウンドフォーラム、あるいはソーシャルネットワークの専用マーケットプレイスなどで販売されます。

図4：感染PC端末に構築されたレンタル用ボットネット：C＆Cパネルにアクセス可能なボットネットのレンタルサービス

1,000台を超える感染端末が接続したPCベースのボットネットは800米ドル（約82,400円）前後で販売されており、暗号資産の不正マイニング、分散型サービス拒否（DDoS）、あるいは任意のファイルを実行するための機能が料金に含まれている場合があります。ボットネット所有者は通常、VirusTotal上ですでに検出されたランサムウェア、クリプトロッカー、および不正ファイルの使用を他のサイバー犯罪者に禁じています。これは、セキュリティ対策製品によってボットネットが構築された感染端末ユーザに感染の疑いを通知される可能性があるためです。

以下は、侵害された資産の全体的なライフサイクルと、それらが不正目的で通常どのように使用されるかを簡潔にまとめたものです。以下の図は、サーバが侵害された後のさまざまなスピンオフ、収益化と転売の方法、およびセキュリティチームが最終的に対処する時期を示しています。

■侵害されたサーバによる収益化ライフサイクル

サイバー犯罪者によるWebサーバの乗っ取り

サーバの乗っ取りは、攻撃における最も初期の段階であり、ネットワークスキャナなどを介して露出したWebサーバなどが列挙されています。これらのサーバに不正アクセスし、さらなる不正活動のために可用性、帯域幅、GPUの種類などの機能別に分類されます。

収益化パスの分類および推定

侵害されたサーバは、アンダーグラウンドで活動するサイバー犯罪者が使用する不正ソフトウェアツールによって自動的に収集可能な単純な基準に基づいて分類されます。コンピューティング能力、帯域幅、場所、被害者などが分類される一例です。

侵害された資産は、何度も乗っ取られた末に、収益化または転売される可能性があります。

機密データの抽出

このカテゴリには、さまざまな自動キーワード検索ツールを用いて窃取された認証情報、PII、財務情報、スキャンされたドキュメントまたは機密文書など、侵害されたサーバからの情報が含まれています。

標的型攻撃の再販

最初に侵害を行ったサイバー犯罪者とは無関係の、別のサイバー犯罪者が興味を持つサーバが見つかることがあります。特に機密性の高い資産は、アンダーグラウンドオークションで数十万米ドル（数千万円以上）の値が付くこともあります。

サイバー犯罪者の収益化のための再販

アンダーグラウンド内で提供される一部のプラットフォームは、侵害されたサーバの処理と収益化を自動化します。これにより販売者は協力し、「サービスとしてのアクセス（AaaS）」モデルとも呼称されるサービスを通じて、1日あたり100を超える侵害されたサーバのサービス提供を可能にします。

サイバー犯罪者による収益化

侵害されたサーバは通常、暗号資産の不正マイニングまたは不正ホスティングを通じて収益化がなされます。ランサムウェア攻撃、特に標的型攻撃の場合は、インフラについて深い知識を持つ攻撃者に採用される可能性があります。暗号資産の不正マイニングは、再販、またはランサムウェアをデプロイする前にアイドル状態にある侵害された資産を示すことが多いため、防御側にとって特に興味深い情報と言えます。

インシデント対応

侵害の事実または不正活動が検出されることにより、インシデント対応（IR）チームが脅威に対処することで侵害が終了に至るまでが典型的な全体の流れです。

■プライバシーおよび匿名化サービス

匿名化サービスによりサイバー犯罪者は、より安全性の高い難読化を施した不正活動に移行することができます。匿名化サービスの使用がなければ、捜査官は犯罪者の正体を特定できることが多々あります。このようなサービスはサイバー犯罪者に高い需要があり、多くの開発者はサイバー犯罪者が利用するインフラの堅牢性を確保するためにかなりの時間を費やしています。

プロキシサービスは犯罪フォーラムでは一般的に取り扱いのある商品です。2米ドル（約206円）という低価格で販売できるSOCKSサーバ無制限利用プランもあります。これにより攻撃者は、ネットワークセキュリティ監視ツールによる検出機能をトリガーせずに自身の不正活動を隠すことができます。他のプロキシサービス提供者は、RDPとは異なり、より用途が広く、オフラインになる可能性が低いSecure Shell（SSH）ツールのような正規の通信プロトコルを取引します。

図6：匿名化VPNサービス：アンダーグラウンドでの短期VPN契約を販売するWebサイトの一例

多くの販売業者は主要なビジネスモデルとしてレンタル用に提供される匿名化サービスを利用しています。正規のVPNプロバイダは毎月の定期契約を結んでいますが、不審なVPNの提供元は、「契約期間」を通じて提供されることが多く、場合によっては1日程度です。上記の一例のようなサービスは、更新属性に加えて、機能、機能、有効性、およびコストを記述する簡単な方法を提供します。

■ドメイン名のプロビジョニングサービス

防弾ドメインは現状、しばらく前からホスティングオペレーションの一部になっています。サービスプロバイダは、IPアドレスとドメイン名の双方において不正使用に強いホスティングを提供します。他のサイバー犯罪者から攻撃を受けたときにサービス利用者に通知するものさえあります。一部の販売者は、最近再び登録可能ドメインとして解放された評判の良いドメインも提供しています。これは、セキュリティ対策製品のレピュテーション技術のフィルタを回避するために悪用されます。

サイバー犯罪者は、ダークネット（.onion）サイトにプラットフォームをホストすることで、インフラの一部の場所を隠すことがよくあります。このようなドメインの市場提供には、多くの場合、防弾ホストや不正コンポーネントの提供サービスが含まれます。人気のあるドメインの小売価格は約10米ドルから80米ドル（約1,030円から8,250円）です。

図8：分散型DNS：「Namecoin」および「Emercoin」を登録するサイト

弊社トレンドマイクロのSecurity Newsでは、2013年11月19日公開の記事で、ブロックチェーンおよび分散型ドメインネームシステム（DNS）のトップレベルドメイン（TLD）における潜在的な誤用について報告しました。サイバー犯罪者にとっては、これらの誤った使用を狙った攻撃がより一般的になっているようです。TLDの分散アーキテクチャ、完全な匿名性、削除措置への抵抗、および完全に自動化されるドメイン名に関するオペレーションの容量により、これらのサービスはサイバー犯罪者にとって魅力的なものとなります。たとえば、ランサムウェア「GandCrab」および関連する亜種は、これらの範囲内で目立つようにホストされていました。

■サイバー犯罪のインフラにおける隙間市場

アンダーグラウンドでは幅広いサービスが提供されています。上述する商品に比べ、アンダーグラウンド内で広く認知されていない商品も確認されていますが、フォーラム内での人気は時間の経過とともに高まると考えられます。

サイバー犯罪を幇助するアンダーグラウンド内のこれらの進展から知見を得ることで、防御側は市場の隙間市場をよりよく認識し、今後の事態に備えることができます。

図9：モバイルワークスペース：Torで提供される防弾サーバにより事前構成されたワークスペース

弊社は、ワークスペースの防弾ホスティングサービスの類のように見えるモバイルワークスペース向けの商品を確認しました。このサービスは、完全な匿名性を提供するだけでなく、DDoS保護、発信トラフィックミキサー、およびVPNも提供します。一部の販売者は、高速フラックスサービス、カスタマイズされたルータ、および販売者側で独自に作成したAndroidマルウェアの亜種を提供しています。

一部のアンダーグラウンド販売業者は、電話の着信履歴、使い捨て電話番号、発信者の詳細を確認するなどのサービスを通じて、通信ネットワークとインフラに精通していることを示しています。これらのサービスには、加入者に関するさまざまな個人情報が含まれています。興味深いことに、電話のほかに企業の電子メールの内容を確認するサービスも確認できました。これにより攻撃者は、一般的な検証アプローチを行わずして不正なアカウントを作成できます。

アンダーグラウンド内で提供されるインフラにおける新たな傾向を以下に示します：