信頼を失った闇市場:アンダーグラウンドマーケット最新事情
トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットやアンダーグラウンドフォーラムに対する監視や調査を行っています。これらの調査結果は法執行機関との連携で使用されると共に、2013年からはレポート化し一般公開しています。特に2015年からは、世界各地のアンダーグラウンド状況を調査した一連のレポートを「Cybercriminal Underground Economy Series」として公開してまいりました。そして今回、トレンドマイクロでは様々なアンダーグラウンドマーケットを再調査した結果を元にレポートをまとめました。本ブログでは3回にわたり、この2019年に行った最新調査結果を中心に、現在のアンダーグラウンドマーケットの状況と過去からの変化、およびその変化から見えてきた今後の予測についてご報告いたします。
トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットやアンダーグラウンドフォーラムに対する監視や調査を行っています。これらの調査結果は法執行機関との連携で使用されると共に、2013年からはレポート化し一般公開しています。特に2015年からは、世界各地のアンダーグラウンド状況を調査した一連のレポートを「Cybercriminal Underground Economy Series」として公開してまいりました。そして今回、トレンドマイクロでは様々なアンダーグラウンドマーケットを再調査した結果を元にレポートをまとめました。本ブログでは3回にわたり、この2019年に行った最新調査結果を中心に、現在のアンダーグラウンドマーケットの状況と過去からの変化、およびその変化から見えてきた今後の予測についてご報告いたします。
(※記事内で使用する通貨単位として、「ドル、$」は米ドル、「円、¥」は日本円とします。また記事編集時6月時点の換算レートで1ドル=107円、1ビットコイン=100万円として計算します)
/blackmarket-losing-confidence/blackmarket-losing-01.png)
アンダーグラウンドマーケットとは
上記のグラフは、2019年に調査した複数言語にわたるおよそ600カ所のアンダーグラウンドフォーラムの書き込み数を元に、人気の高い商品やサービスを可視化したものです。一般に「闇市場」などとも呼ばれるアンダーグラウンドのサイトでは、盗まれたクレジットカード情報やWebサービスのアカウント、マルウェアなどのデジタル商品から、違法薬物や偽造証明書のような物理的な商品までが扱われています。これらの「商品」は、例えばAmazonのようなインターネット上の正規マーケットでは扱われない物と言えます。またアンダーグラウンドフォーラム上でも、闇市場サイトやそこで扱われる商品に関する書き込みや情報交換が見られます。そのためアンダーグラウンドフォーラムは、アンダーグランドマーケットを形成する主要な部分の1つと言えます。
アンダーグラウンドマーケットはよくダークウェブとの繋がりが示唆されますが、個々の闇市場サイトやアンダーグラウンドフォーラムの中には一般のインターネットからアクセス可能、つまりサーフェスウェブ上のものも存在します。これらのアンダーグラウンドマーケット全体の市場規模を測ることは非常に困難ですが、2018年に発表された研究によれば、全世界におけるサイバー犯罪の収益は年間1.5兆ドル(約160兆円 )と推測されています。この金額は2019年におけるApple社やAmazon社の収益を遥かに上回るものです。
アンダーグラウンドマーケットで使用される言語の傾向
英語とロシア語はアンダーグラウンドマーケットで使用される2大言語となっています。ただし、5年前の調査時点と比べ、言語ごとにマーケットが分割される状況ではなくなってきています。調査の中では、複数言語のマーケット間で同内容の広告や書き込みを見つけることがありました。例えば、ロシア語話者のサイバー犯罪者が英語とアラビア語のフォーラムにも参加、という具合です。サイバー犯罪者がより多くの金銭を稼ごうとする中で、複数言語で広告を出したり対応したりといった「グローバル化」が当たり前になってきているようです。それでもなおマーケットごとの多様性が失われたわけではありません。マーケットごとに、対象とする国や地域に固有の商品やサービスが提供されています。
/blackmarket-losing-confidence/blackmarket-losing-02.png)
連絡手段の変化
アンダーグラウンドフォーラムを構成するサイバー犯罪者同士はフォーラム上ですべてのコミュニケーションをとるわけではありません。実際に商品やサービスの売買交渉の段階になると、プライバシーを守ることを目的としたメールやメッセージのサービスにコミュニケーションを移行します。
この中で、セキュアなメールサービスとして人気のあったProtonmailは、法執行機関を支援したとして非難されサイバー犯罪者の支持を失いつつあります。そして代替のサービスとしてSonarやEludeMailが登場しました。
また2年前の調査時点で人気のメッセンジャーアプリは、Telegramでしたが、この傾向にも変化が表れています。2019年に入り、多くのサイバー犯罪者がDiscordの使用に移行しています。Discordは主にeSportsなどのゲーマーが使用することで普及した正規のメッセンジャーアプリですが、アンダーグラウンドフォーラムやマーケットでは自身のDiscordサーバを作成して運用しています。
/blackmarket-losing-confidence/blackmarket-losing-03.png)
信頼を失った闇市場
トレンドマイクロが世界的な調査を始めた5年前から現在までの間に、アンダーグラウンドマーケットについての状況は変化し、ダークウェブ上の闇市場サイトは利用者からの信頼を失ってきています。2019年には3月のDream Market、5月のWall Street Market、Valhalla、DeepDotweb、11月にはBerlusconi Marketといった有力な闇市場サイトが、各地の法執行機関の努力により相次いで閉鎖に追い込まれました。中でも特にWall Street Marketの運営者は、逮捕の時点でマーケット取引上の預かり金の詐取、いわゆる「出口詐欺」を計画していたことが暴露されました。
このような有力闇市場サイトの相次ぐ閉鎖に伴い、利用者はまた別の闇市場サイトへ移行しました。しかし現時点では、闇市場サイトの中から、これまでにあったような有力な存在は見出せません。例えば、複数の有力市場の閉鎖によりトップ闇市場サイトの1つとなったEmpireでは、たびたびオフラインとなり利用できないなど不安定な状態が継続しています。また複数市場の閉鎖以降のアンダーグラウンドフォーラムの監視では、売り上げ低下に関する書き込みを確認したほか、法執行機関の捜査、闇市場サイトでの出口詐欺に対する不安の書き込みも頻繁に見られました。
/blackmarket-losing-confidence/blackmarket-losing-04.png)
闇市場における「信頼回復」の動き
ダークウェブ上の闇市場サイトの信頼が失われる中、利用者からの信頼を回復しようとする動きが見られています。闇市場サイトの運営者は、取引に使用するための「財布」の仕組みがないウォレットレスマーケット、ビットコインやモネロのマルチシグネチャ、JavaScriptを使用しないポリシーなど、利用者にとっての「セキュリティ向上」のための仕組みを導入しています。
新しいウォレットレスマーケットの例として、Monopolyでは販売者と購入者が直接金銭をやり取りし、これまでのような取引ごとの手数料は発生しません。代わりに使用者は月ぎめの利用料を払う仕組みです。Monopolyは同時に、JavaScriptを使用しないポリシーも表明しています。
またブロックチェーンやP2Pなど分散型の技術を応用する試みもあります。人気のカード情報販売サイトであるJoker StashはブロックチェーンDNS(BDNS)に移行しました。オープンソースの分散型P2PマーケットプラットホームであるOpenBazaarは、プライベートチャット用のAndroidアプリやiOSアプリを提供しています。Utopiaは2019年後半に登場した新たな闇市場サイトですが、分散型P2Pネットワークやメッセージの暗号化機能など、複数の「セキュリティ機能」を持つことを宣伝しています。
/blackmarket-losing-confidence/blackmarket-losing-05.png)
またアンダーグラウンドマーケットの利用者側に対し、信用できる販売者を検索するサービスも登場しました。「DarkNet Trust」と呼ばれるサイトでは、闇市場でのユーザーネームか電子指紋(PGP Fingerprint)を元に、1万を超える販売者についてその評価を検索することができます。
/blackmarket-losing-confidence/blackmarket-losing-06.png)
サーフェスウェブへの移行の動き
また一方では、信頼を失ったダークウェブからサーフェスウェブ、つまり一般のインターネット上に活動を移行する動きも見られています。トレンドマイクロの過去1年半の調査の中では、特に英語、ロシア語、アラビア語のアンダーグラウンドフォーラムにおいて、サーフェスウェブ上の販売サイトのリンクを投稿する事例が見られています。
悪用されているECサイトプラットホームの例として、中東の企業が提供する支払い処理までを含んだECサイトのオールインワンサービスがあります。このECサイトのサービスは利用しやすいインターフェースを持ち、安い使用料で提供されており、誰でも簡単に登録してサイト上で商品の販売を行うことができます。Amazon配下のインターネット調査会社Alexaのトップサイトランキングによれば、このサービスのECサイトは2019年12月の時点で米国のトップ5,000サイト、全世界のトップ15,000サイトにランクインしていました。同じAlexaの分析では、複数のアンダーグラウンドフォーラムについて、訪問者の多くがこのECサイトにも訪問しているなどの関連がわかっています。実際、アンダーグラウンドフォーラムであるNulledでは、管理者の1人がこのECサイトの関係者であることが述べられています。このECサイトの利用規約には、合法な目的でのみ使用できることが規定されていますが、実際には違法な商品やサービスを販売しているストアが稼働し続けています。
サイバー犯罪者は、このECサイト以外にも合法に登録された企業が運営するECプラットホームを取引に悪用しており、商品やサービスを販売するサイバー犯罪者にとって利便性が高いものになっています。販売者にとっては、複数のアンダーグラウンドフォーラムで販売に関する単発の書き込みをいくつも行う代わりに、ダークウェブ上の闇市場サイト同様に自身が扱う商品を1か所に集約して紹介できるようになります。利用料は月単位ではなく、取引ごとに支払うことも可能です。また購入者側から見ると、決済手段としてBitcoin、Ethereum、Stripe、Litecoinなどの暗号資産(仮想通貨)の他、PayPalも利用できます。今後もこのようなサーフェスウェブへの移行が続くのかが注目されます。
/blackmarket-losing-confidence/blackmarket-losing-07.png)
/blackmarket-losing-confidence/blackmarket-losing-08.png)
/blackmarket-losing-confidence/blackmarket-losing-09.png)
/blackmarket-losing-confidence/blackmarket-losing-10.png)
次回記事では、アンダーグランドマーケットで扱われている商品とサービスの変化について報告します。
「アンダーグラウンドマーケット最新事情」2020
1.信頼を失った闇市場(本記事)
2.「商品」と「価格」の変化
3.「ニューノーマル」と「未来予測」