トレンドマイクロは、アンダーグラウンドフォーラムやアンダーグラウンドマーケット(闇市場)を監視する中で、サイバー犯罪者同士が外出制限下での「余暇」を楽しむために、さまざまな活動を実践していることが判明しました。サイバー犯罪者同士の「余暇活動」は次の新たなサイバー犯罪を助長する可能性があります。
サイバー犯罪により得た資産を賞品とするなど、違法性の高い大会が確認されている
前回記事ではアンダーグラウンドマーケットで取引されるインフラについて説明しました。それらのインフラの中でも、防弾ホスティング(BPH)サービスは、長きにわたりサイバー犯罪インフラを保護する重要な要素としてサイバー犯罪者に利用されています。これらのサービスは、サイバー犯罪者の不正活動をどのように保護しているのでしょうか。また、サイバー犯罪者はどのように防弾ホスティングサービスを利用してビジネスを継続しているのでしょうか。
多くのサイバー犯罪活動には、ある程度の組織、計画、およびその背後に存在する個人またはグループの技術的洞察を反映する何らかの形の活動基盤があります。アンダーグラウンドで提供されるインフラを利用することは、サイバー犯罪者が不正活動を遂行する上で必要不可欠のものです。弊社トレンドマイクロは、サイバー犯罪を幇助する情報が闇市場で取引される方法や提供されるサービスの種類について別々のホワイトペーパーにまとめて公開したのち、本ブログでも概説しました。本ブログ記事では、サイバー犯罪者がサーバなどの資産を不正に確保し、ビジネスで生き残るために採用する手口について解説します。
サイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。
サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。
トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。
出典:ウクライナの公式YouTubeチャンネルのセキュリティサービス
トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットに対する監視や調査を行っています。アンダーグラウンドマーケットの最新調査結果に関しては本ブログでも、7月14日、15日、16日に連載記事の形で報告いたしておりますが、今回は更にアンダーグラウンド内で構築されるインフラやサービスの実情を深堀調査した結果についても報告してまいります。本記事では、アンダーグラウンドにおけるマーケットプレイスの内情について詳述し、サイバー犯罪者が集うコミュニティで提供される商品やサービスについて、また、アンダーグラウンドのインフラを利用する売り手と買い手がどのように取引を行っているかについて解説します。
「アンダーグラウンドマーケット最新事情」連載、最終回の今回は、トレンドマイクロが2019年に行ったアンダーグラウンドマーケットの最新調査の結果から、アンダーグラウンドマーケットで扱われている商品やサービスに関する新たな傾向と近い将来に起こりえる変化の予測について報告します。
(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)
トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットやアンダーグラウンドフォーラムに対する監視や調査を行っています。これらの調査結果は法執行機関との連携で使用されると共に、2013年からはレポート化し一般公開しています。特に2015年からは、世界各地のアンダーグラウンド状況を調査した一連のレポートを「Cybercriminal Underground Economy Series」として公開してまいりました。そして今回、トレンドマイクロでは様々なアンダーグラウンドマーケットを再調査した結果を元にレポートをまとめました。本ブログでは3回にわたり、この2019年に行った最新調査結果を中心に、現在のアンダーグラウンドマーケットの状況と過去からの変化、およびその変化から見えてきた今後の予測についてご報告いたします。
(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)
(2019年に行ったアンダーグラウンドフォーラムへの書き込みに対する調査から集計)
アンダーグラウンドのオンライン掲示板を利用する個人や集団の多くは、取引が確実に行われることを保証するために多大な努力を払っています。問題が発生した際の仲裁はもちろん、身元審査や、第三者が取引を仲介するエスクロー制度および預り金など、相互監視による「抑制と均衡(チェック・アンド・バランス)」の制度によってアンダーグラウンド市場は運営されています。皮肉なことに、アンダーグラウンドのオンライン掲示板においても、一般のオンライン掲示板と同様の「礼儀正しく倫理的な行動」を定めた規則が厳しく適用されています。本記事では、長期的な信頼と短期的な利益という観点からアンダーグラウンドにおけるサイバー犯罪者の振る舞いについて解説します。
■アンダーグラウンド市場における信頼
アカウントの序列
ほとんどのアンダーグラウンドのオンライン掲示板にはアカウントの序列が存在します。この序列は、多くの場合、アカウントの利用年数、活動レベル、評判、問題のある取引を埋め合わせるための預り金の額のように、いくつかの基本的で測定可能な指標に基づいて決定されます。
図1:オンライン掲示板におけるアカウントの序列
(右のアカウントほど序列が高い)
