ディープウェブ
コロナ禍におけるサイバー犯罪者たちの「余暇活動」が判明
トレンドマイクロは、アンダーグラウンドフォーラムやアンダーグラウンドマーケット(闇市場)を監視する中で、サイバー犯罪者同士が外出制限下での「余暇」を楽しむために、さまざまな活動を実践していることが判明しました。サイバー犯罪者同士の「余暇活動」は次の新たなサイバー犯罪を助長する可能性があります。
トレンドマイクロは、アンダーグラウンドフォーラムやアンダーグラウンドマーケット(闇市場)を監視する中で、サイバー犯罪者同士が外出制限下での「余暇」を楽しむために、さまざまな活動を実践していることが判明しました。サイバー犯罪者同士の「余暇活動」は次の新たなサイバー犯罪を助長する可能性があります。
トレンドマイクロの2020年上半期セキュリティラウンドアップでは、新型コロナウイルスCOVID-19の世界的大流行(パンデミック)が、サイバーセキュリティ業界にもたらした影響について報告しました。パンデミックの影響に対し、企業組織ではテレワークやクラウド環境の導入など新たな運営体制を強いられ、従業員の勤務体系にも影響が出る結果となりました。その変化を必要とする活動の中には余暇の時間も含まれています。世界各地で実施される都市封鎖(ロックダウン)や外出制限により、動画配信サービスなどを利用して余暇を過ごしたという方も多いことでしょう。
同様に、特定のサイバー犯罪活動においても、コロナ禍の影響に順応させるべく変化を余儀なくされている部分があるようにみえます。しかしサイバー犯罪者は、別の活動を通じて「余暇」の時間を楽しんでいることが明らかとなりました。残念ながら、サイバー犯罪者にとっての「余暇活動」は、さらなるサイバー犯罪を誘引する可能性があり、世界のコミュニティに悪影響を及ぼす恐れがあります。一般の娯楽活動と異なる点は、大会などで勝者に授与される賞品の多くがサイバー犯罪を助長する資産であり、賞品を授与されたサイバー犯罪者が次なる犯罪被害を引き起こす可能性があることです。これらの余暇活動には、ラップバトルのような、一見すると「道徳的で健全な」ものから、ポーカー大会、あるいは、詐取したクレジットカード情報の数を競う大会など、非道徳的で常軌を逸しているものまであります。サイバー犯罪者は、すでにコロナ禍に苦しむ人々の生命線である資産を、大会などと称して、ゲーム感覚で盗み出し、自身はもとより、他のサイバー犯罪者とともに、コロナ禍が招いた余暇の時間を楽しんでいるように見えます。
■コロナ禍で活発化するサイバー犯罪者の「娯楽活動」
サイバー犯罪者は、特定のオンライン競技を好んで支持しているように見えます。これらの競技は、2020年にパンデミックの感染被害が拡大するにつれて開催頻度が増加しており、以下のような競技に人気が集まっているようです。
- オンラインラップバトル
- ポーカー大会
- 詩人コンテスト
- 対面方式でのスポーツ大会
- 総合格闘技大会(MMAトーナメント)
これらの活動の中には参加者間の個人的な交流会が含まれており、そのほとんどが地元のスポーツクラブやバー、カフェで行われているようです。
一見、普通の人でも参加できる、犯罪とは無縁の娯楽活動のようにもみえます。ところが、その見かけとは裏腹に、これらの娯楽やゲーム活動の裏では、次なるサイバー犯罪へとつながる仕組みが用意されています。たとえば、大会の勝者に賞品を授与する行為は至って普通の活動のように見えます。しかし、不正な手段で取得された資産が賞品として授与されます。授与される賞品は、クレジットカードのダンプから個人情報(PII)まで多岐にわたります。
これらの賞品の多くは、サイバー犯罪を助長する目的に使用されます。たとえば、PIIは個人情報を窃取する目的で使用される一方、クレジットカードのダンプはクレジットカードを不正利用するために使用されます。
不正な手段で取得された資産が賞品として授与される事実に疑問が残るだけでなく、一部の娯楽活動においては、そもそもその合法性について疑念が拭えません。たとえば、一部の国ではオンラインポーカーが違法であるため、ポーカー大会を開催する活動は合法的でない可能性があります。しかし、世界的な都市封鎖や外出制限により、アンダーグラウンドで開かれるポーカー大会は開催頻度が増加しています。
コロナ禍に起因する都市封鎖や外出制限によりさらに暇をもてあまし、大会の開催頻度を毎週から毎日に増やすことを提案するアンダーグラウンドフォーラムのメンバーさえ確認されています。ポーカー大会はアンダーグラウンド内で非常に人気があり、何十ものフォーラムスレッドがポーカー大会を宣伝しているのを弊社は確認しました。
トレンドマイクロが調査したサイバー犯罪に利用されるプラットフォーム全体の約半数が、何らかの形でコロナ禍の影響に配慮したエンターテイメントプログラムを提供していました。このプログラムは、賞金獲得を目指すストーリーコンテストのように、かなり健全な活動に見えるものもあれば、サイバー犯罪を助長する賞品を提供する活動も確認されました。
前出のスクリーンショット(図1)は、これらのスレッドの多くがコロナ禍中に作成されており、すでに何千もの閲覧数を獲得しているスレッドがあることを示しています。
一部のアンダーグラウンドポーカークラブは、アクティブなプレーヤーにフォーラム内で利用可能な追加の特権を付与します。これらの特権の一部は、外貨両替時に発生するエスクロー(第三者預託)サービス手数料を割引するなど静的なものです。別のポーカークラブでは、リピーターをできる限り増やすために毎月特典を変更しています。2020年6月には、あるポーカーの参加者に、すべてのエスクローサービス手数料が10%から5%へ半額になる特典が与えられているのを確認しました。
サイバー犯罪者がアクティブメンバーになるためには、ポーカークラブフォーラムやTelegram内で関連のあるポーカー愛好会などに参加したり、あるいは、特定のポーカーサイトのポーカールームからインストールしたアプリケーションを使用してクラブに参加したりする必要があります。サイバー犯罪者は、メンバーになるために最低3回はクラブのゲームに参加し、その後、メンバーシップを維持するために少なくとも月に4回プレイする必要があります。
また、ラップバトルが人気を博しているのも確認しました。おそらくは、闇市場の安全な空間を利用して、仮想現実での体験を共有できるプラットフォームを構築する方法を取り入れているものと考えられます。同様に、外出制限によりインドア活動が多くなる昨今、「創造性」を担う脳をほぐす目的で開催された詩人コンテストもサイバー犯罪者に需要があるようです。ある詩人コンテストでは、ポーカー大会について作詩するようコンテスト参加者にお題を出すなど、ほかの娯楽活動の要素を取り入れる試みが実施されていました。
弊社は、ポーカー大会への出場権などを賞品として授与するコンテストに継続的な関心が寄せられていることに気付きました。
サイバー犯罪者は、大会や賞品を宣伝するためにコンテストに寄せられた詩を再利用しました。これらの詩の多くは、フォーラム内で飛び交うスラングを用いて書かれており、SOCKSプロキシを示す「Teri give socks」や、サイバー犯罪者が正規のユーザ環境を模倣するために使用される、カスタマイズされたブラウザ「Linken Sphere」を示す「Sphere」などのフレーズが一例として挙げられます。
■大会で授与される賞品は盗品
先述のように、通常余暇活動自体に問題があるわけではありません。最大の問題の1つは、これらのコンテストで勝者に授与される賞品に犯罪要素が含まれていることです。これらの賞品は通常、アンダーグラウンドフォーラムで活動するサイバー犯罪者によって提供され、サイバー犯罪をさらに助長しています。
インターネット上で確認できた賞品には以下のものが含まれます。
- PIIやクレジットカード情報を含む、詐取したデータのクラウドベースのログにアクセスできる権利
- Linken Sphereのライセンス:詐取した認証情報やデバイスフィンガープリントを使用して不正防止システムの検出を回避するカスタマイズされたブラウザ。サイバー犯罪者は通常、これらの手段を用いて、詐取したクレジットカード情報や決済システムの認証情報を収益化する
- Eスキミング攻撃などにより漏えいしたクレジットカード情報を使用して偽造されたVISAのゴールドカード(7か月間の保証付き)
- 不正に取得したクレジットカード情報を悪用して購入された往復航空券。以前、詐取されたクレジットカード情報が旅費の削減などに悪用される事例についても報告したが、今回のものは、大会の賞品として利用される点で別の手口と言える
- 正規Webサイトを偽装した偽サイトやECサイトの作成を自動化する不正スクリプト。アンダーグラウンドで活動するサイバー犯罪者は、これらの偽サイトを誘導手口に利用して、ユーザの認証情報、PII、クレジットカード情報、電子財布、別の収益化可能な資産などを詐取する
- 資金洗浄に関与するマネーミュールに登録されたYandex Money(ロシアのインターネット支払いシステム)およびQIWI Wallet(デジタル決済アプリ)。アンダーグラウンドで活動するサイバー犯罪者の多くは、これらの電子マネーをECサイトでの支払い手段として利用したり、あるいは、仮想プライベートサーバ(VPS)やその他の自身のビジネスに必要な資産を購入する手段として利用したりする
- クレジットカードの不正防止ソフトウェアのライセンスとカスタムされた50の環境設定情報。このソフトウェアは、窃取した支払い情報とともに使用され、不正防止システムによる検出を回避しながら、正規クレジットカード所有者になりすます
もともと犯罪活動によって蓄積された賞金
■サイバー犯罪者の「余暇活動」が個人や企業にもたらす影響
上記に挙げたような不正な賞品が次なる不正活動の目的に使用された場合、すでにコロナ禍で困窮する個人や企業にさらなる負担を強いることになります。窃取された個人情報や盗まれたクレジットカード情報が不正に使用された場合、大きな損害を招く恐れがあります。有効確認済みの電子財布や銀行口座が、企業や個人から漏えいしたPIIやスキャンされたドキュメントを使用して不正に登録されていることが多々あります。これらの窃取されたアカウントが犯罪活動に利用された場合、正規所有者の知らないところで自身の名前が犯罪活動に関与している場合があります。一方、個人情報が詐取された場合、被害者に深刻な被害をもたらす可能性があります。
さらに、賞品として提供される特定の犯罪支援ソフトウェアのライセンスは非常に価値があり、サイバー犯罪者にとって非常に役立つものです。前出の「Linken Sphere」の価格は、月額約100米ドル(約10,500円)、または6か月の利用契約期間で500米ドル(約52,500円)です。
これらの脅威は目新しいものではなく、クレジットカードの不正利用、個人情報の詐取、ソフトウェアの盗難による被害は何年も前から確認されています。しかしながら、犯罪行為により不正に取得した資産を娯楽活動の賞品として使用する身勝手な行いは、サイバー犯罪者の倫理観が欠如していることを明確に表しています。盗まれた資産もまた、賞品、取引、譲渡可能な資産です。ただし、被害者にとっては状況が大きく異なり、自己の利益のためなら相手を陥れてよいと考える独占社会の利己主義者から不当な支払いを請求されているようなものです。
コロナ禍の影響により世界中で都市封鎖や外出規制が実施されるこの時期に、自身の楽しみのために、ゲームを企画したり、コミュニティに参加したりするサイバー犯罪者は、一見、無邪気に娯楽活動を楽しんでいるように見えるかもしれません。しかし、詐取した情報や盗んだ資産を賞品にするなどの行為は犯罪であり、さらなるサイバー犯罪を誘発させる恐れがあります。
コロナ禍によりもたらされた影響は、世界中に多くの困難と経済的苦難を与えています。感染者はもとより、人々は感染拡大を抑止する策を見いだせず、何千もの家族が巨額の医療費を捻出するために苦悩しています。パンデミックがもたらした景気の低迷により多くの人々が仕事を失い、仕事を探している一方で、オフィスの多くは閉鎖を余儀なくされており、高い失業率に拍車がかかっています。
人々の生活と資産を、サイバー犯罪者の身勝手な娯楽活動と引き換える行為は許されるものではありません。現在の状況を考えるとなおさらです。大会やイベントを開催するために他の人を犠牲に追いやる行為は、非常に非倫理的と言えます。トレンドマイクロのミッションは、デジタルインフォメーションを安全に交換できる世界を実現することです。国際的法執行機との協働や情報提供を通じ、このようなサイバー犯罪者の活動に対抗してまいります。
参考記事:
- 「Cybercriminals Gamble With Victims' Livelihoods To Pass the Covid-19 Blues」
by Erin Johnson, Vladimir Kropotov, and Fyodor Yarochkin, Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)