ホリデーシーズンになると、少しでも安く最高の贈り物を見つけようと、買い物客はインターネット中を探し回ります。この時期にお買い得品を探し求めるのは、普通の消費者だけではありません。サイバー犯罪者も、ここぞとばかりに買い物に走ります。ただし、そこで使うのは他人のお金です。そのためにアンダーグラウンド市場を利用して違法な商品やサービスを売買しています。盗難データから、侵害されたオンラインアカウント、カスタムのマルウェア、攻撃サービスや攻撃インフラ、不正バウチャーまで、行くところに行けばどんなものでも購入できてしまいます。
違法な商品やサービスの価格は、その内容によって異なりますが、サイバー犯罪の世界でさえ、ぎりぎりのところでお買い得品が存在します。盗難データや侵害されたアカウントは、1 ドル未満で入手可能です。攻撃インフラのように大規模なサービスとなると、価格は 100 ドルから数千ドルになりますが、こうしたインフラを利用することで見込める利益を考えれば、初期投資に見合う価値があるのでしょう。
この 1 年間にも、データ侵害や店頭レジ端末(POS)マルウェアのインシデントが多発したことを考えると、アンダーグラウンド市場には盗難データがあふれ、価格が下落していると思われるかもしれません。ところが不思議なことに、アンダーグラウンド市場で売買される違法な商品に限っては、そうした需給の法則は成り立たないようです。
アンダーグラウンドでの買い物
違法な市場のなかには、公衆インターネットで閲覧できるものもありますが、最近はアンダーグラウンドサイトに関する報道が増えてきたため、詐欺師の多くがインターネットのもっとダークな部分にいやおうなく移動させられています。たとえば、匿名の Tor ネットワーク上に、隠しサービスとしてホストされているフォーラムも確認されています。招待がないとアクセスできないうえ、たとえば最新のクレジットカード情報 100 件など、金銭や商品に関する一定の取引条件を必要とする市場もあります。かと思えば、プライベートのチャットルームで運営され、加入には厳しい審査手続きがある市場まで存在します。こうした閉じたサークルほど、価格が安く、取引される商品やサービスの量も豊富なのが普通です。
売買される盗難データ
メールアカウントなど、一部のデータについては取引価格が下落してきましたが、オンラインバンキングの口座情報など利益が大きい情報は高値安定が続いています。2007 年には、盗み出されたメールアカウントに 4 ドルから 30 ドルの値段が付いていました。それが、2008 年になると 0.10 ~ 100 ドルの間で変動し、2009 年には 1 ~ 20 ドルの間を推移するようになりました。今では、メールアカウント 1,000 件が 0.50 ドルから 10 ドルで入手可能です。こうした最新価格を見ると、供給過剰となった現状に応じて市場が変化していることがよくわかります。
一方、クレジットカード情報の取引価格は、最近になっても下がっていません。2007 年、クレジットカード情報は 1 枚あたり 0.40 ドルから 20 ドルと広告されていました。希望取引価格は、さまざまな要因によって変動します。カードのブランド、発行された国、カードに関連して入手できるメタデータの量、ボリュームディスカウント、盗まれた時期などです。2008 年には、希望価格の平均が 0.06 ~ 30 ドルとわずかに高くなり、同年の後半には 0.85 ~ 30 ドルにまで上昇しました。現在は、0.10 ドルから 20 ドルの範囲で、全般的にもわずかに下がっています。大量取引になると、さらにその傾向が強いようです。
もちろん、取引の詳細は闇の中なので、価格範囲の上限額を実際に支払っている買い手がどれだけいるかはわかっていません。古いデータを販売しようとしたり、同じデータを何度も再販しようとしたりする売り手もいるため、盗品の水準にも疑問があります。販売者の口座がまだ有効かどうか、あるいはクレジットカードが利用停止になっていないかどうかなどを確認する追加サービスが盛況な理由は、このあたりにあるのかもしれません。アンダーグラウンド市場のほとんどでは、データが新しいという保証までしており、クレジットカードが利用停止になっていた場合には購入後 15 分以内であれば交換できるとされています。予想されるとおり、需要があるところには何者かが参入し、市場のギャップを埋めるのでしょう。
雇われの攻撃サービス
アンダーグラウンド市場では、サービスとして提供されるクライムウェア、いわば「クライムウェア・アズ・ア・サービス」も人気が高くなっています。攻撃者が、ボットネットやオンライン詐欺の実行に必要なインフラをまるごと簡単にレンタルできるサービスです。こうしたサービスのおかげで、独力で攻撃活動を実行するだけの技術スキルを持たない新参の犯罪者にとっても、サイバー犯罪の敷居が低くなっています。
たとえば、ドライブバイダウンロード Web ツールキットは、アップデートと 24 時間 365 日のサポートを含めて、1 週間あたり 100 ~ 700 ドルでレンタルすることができます。オンラインバンキングを狙うマルウェア SpyEye(Trojan.Spyeye として検出されます)は、6 カ月のリース料金が 150 ~ 1,250 ドル、分散サービス拒否(DDoS)攻撃は 1 日あたり 10 ~ 1,000 ドルです。どんな商品やサービスでも、買い手の金銭的な利益に直結すれば市場価格は安定しています。
ランサムウェアの進化
ランサムウェアは、デジタル脅迫としても知られていますが、消費者にとっても企業にとっても問題になっています。簡単に言うと、ランサムウェアはマルウェアの一種で、感染したコンピュータシステムへのアクセスを何らかの形で制限したうえで、その制限を解除してほしければ攻撃者に身代金を支払えと要求します。
ランサムウェアによる脅迫のほとんどは、Windows オペレーティングシステムが稼働しているコンピュータを標的にしています。もちろん、これは驚くに当たりません。デスクトップコンピュータの OS 市場は、Windows ベースのコンピュータが 89% を占めており、Mac OS X と Linux はその残りに過ぎないからです。ランサムウェアもサイバー犯罪者にとっては営利活動である以上、投資から最大限の利益を得ようとするのは当然でしょう。
ランサムウェアは今や、アンダーグラウンドマーケットで新たな主流のマルウェアになっています。
不正バウチャーやチケットからの収益化
サイバー犯罪者は、利益をあげるための新しい手口を次々と考え出しています。現在多く利用されているのは、オンラインで簡単に売買できるバウチャーやオンラインギフトカードです。攻撃者は、バウチャーやオンラインギフトカードを、盗み出したクレジットカードで購入したり、オンラインストアで乗っ取ったアカウントから生成したりします。そのうえで、正規価格の 50 ~ 65% で転売するのです。ホテル、航空機、電車のチケットであれば、本来の希望小売価格の 10% 前後で販売できます。言うまでもなく、このようなチケットを購入するのは非常に危険です。先日の国際的な摘発作戦では、偽造チケットを使った容疑、あるいは不正に入手したクレジットカード情報を利用して航空券を購入した容疑で 118 名が逮捕されました。航空業界では、不正チケットによって年間 10 億ドル前後の損失が発生していると考えられています。
代理人を使った商品転送のような古い手口は、あまり使われなくなってきました。盗難クレジットカードで高価な商品を購入して、無関係な協力者に発送し、受け取った協力者が攻撃者の所有する匿名の私書箱に転送するという手口です。多くの小売店は、発送先をクレジットカードに登録された自宅住所に限定しているため、この方法は難しくなりつつあります。そのため、攻撃者によっては、商品をどこかに配送させるのではなく、近所の店舗で受け取るようになってきたようです。
拡大するアンダーグラウンド市場
アンダーグラウンド市場で販売されているのは、これらにとどまりません。次のような商品やサービスも販売されています。
- 現物のパスポートのスキャン画像(1 ~ 2 ドル)。なりすまし犯罪に利用されます。
- 盗難ゲームアカウント(10 ~ 15 ドル)。価値の高いバーチャルアイテムを取得できます。
- カスタムのマルウェア(12 ~ 3,500 ドル)。支払い先を攻撃者に書き換えてビットコインを窃取するツールなどがあります。
- ソーシャルネットワークのフォロワー。1,000 名で 1 ~ 12 ドル。
- 盗難クラウドアカウント(5 ~ 8 ドル)。コマンド & コントロール(C&C)サーバーのホストとして悪用されます。
- 確認済みのメールアドレスに宛てたスパム送信の代行。100 万件で 70 ~ 150 ドル。
- 登録とアクティベーションの済んだロシアの携帯電話 SIM カード(100 ドル)
保護対策
こうしたアンダーグラウンド市場の活況から、自分自身のデータや ID を保護することがますます重要になっています。適切に身を守らなければ、今年のホリデーシーズンに自分の個人情報がサイバー犯罪者の買い物に悪用されないとも限りません。
シマンテックは、次の基本的なセキュリティ対策を講じることをお勧めします。
- 常に強力なパスワードを使用し、複数の Web サイトで決して使い回さない。
- 攻撃者が既知の脆弱性を悪用しないように、すべてのデバイス上のソフトウェアを定期的に更新する。
- 個人情報や口座情報を入力する際には、アドレスバーで鍵アイコンまたは「HTTPS」の文字を確かめ、その Web サイトがセキュアソケットレイヤー(SSL)で暗号化されていることを確認する。動作に不審な点がある場合は、重要な情報をオンラインで送信する前に報告してください。
- ノートン セキュリティなどの総合的なセキュリティソフトウェアを使って、サイバー犯罪から身を守る。
- 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。嘘のようなうまい話には、たいてい裏があるものです。
詳しい情報の参照先:
シマンテックのホワイトペーパー: The evolution of ransomware(ランサムウェアの進化)(英語)
ブログ記事: The phishing economy: How phishing kits make scams easier to operate(フィッシングエコノミー: 詐欺犯罪を助長するフィッシングキット)(英語)
{エディターからのコメント: この記事は、2014 年 12 月 10 日に公開した第 1 稿を、最新情報に基づいて更新したものです}
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】