サイバー犯罪のアンダーグラウンドを探る:  パート4 – ダークネット市場

※本記事は2017年2月9日に米国で掲載されたブログ記事の抄訳を基にしています。

はじめに

パート12および3と、サイバー犯罪のアンダーグラウンドに関するサイバー犯罪のシリーズでは、サイバー犯罪に絡んだ一部の概念や定義について、およびサイバー犯罪者がサイバー犯罪フォーラムでどのように協力し合って悪意のあるツールやサービスの売買を行っているかについて考察しました。サイバー犯罪のシリーズにおけるこの最新レポートでは、ダークネット市場の一端をご紹介します。ダークネット市場では、被害者のコンピュータ システムにセキュリティ侵害を行うことで直接的に盗まれた可能性の高いデータ、またはデータベースに対する大規模なセキュリティ侵害の結果盗まれたデータを、サイバー犯罪者が売買しています。このブログ記事では、ダークネット市場とは何か、一般的に利用されている決済モデル、ダークネット市場で売買されているデジタル データの種類、およびそうしたデータの典型的な価格について説明します。このブログ記事の目的は、ダークネット市場で売買されている製品やサービスをすべて網羅したリストを提示することではなく、サイバー犯罪者がダークネット市場をどのように利用して罰を受けずに取引きを行っているか、ということに光をあてます。増加しているサイバー犯罪の攻撃活動への影響について理解することが重要です。また、ダークネット市場で特定のPII (個人の特定が可能な情報)データにおける需要があるため、盗まれたデータがサイバー犯罪者の収益になっているのを知ることも重要です。

情報セキュリティ業界で公表されている多数の記事やリサーチで、サイバー攻撃をサイバー キルチェーン モデルとして広く知られている複数のフェーズに細分化できる方法が論じられています。また、ダークネット市場は攻撃のキルチェーン全体において重要な役割を2つ担っています。まず、こうした市場があるため、サイバー攻撃者はツールを購入し、その後、キルチェーンの特定のフェーズでこのツールを利用することができます。以下がその例です。ダークネット市場で売買されるマルウェア作成ツールおよびエクスプロイト ツールは、それぞれキルチェーン モデルの‘武器化‘フェーズおよび‘エクスプロイト‘フェーズにおいて、サイバー攻撃者を支援します。キルチェーン モデルの最終フェーズ‘目標に関する行動‘は、攻撃者の目標または目的を明確にします。第2に、ダークネット市場があるため、サイバー犯罪者は、被害者のコンピュータ システムから盗まれた可能性の高いデータを売ることで、金銭的な利益を得るという目的を果たすことができます。ダークネット市場で売られているデジタル データのすべてがサイバー攻撃の成功の結果から得られたものであるとは限らない、ということも注目する価値があります。内部関係者によるデータ窃盗も、行き着く先はダークネット市場ということがあり得ます。機密情報に関する知識やノウハウのある内部関係者は、本物らしく見える偽の身分証明製品の作成に力を貸す可能性があります。例えば、2016年11月にオーストラリア人の元警察官が逮捕されましたが、逮捕理由は、偽の警察官ID、セキュリティおよび海上警備の通行許可証を作成してダークネット市場で販売したというものでした。

今日、ダークネット市場はユーザー数同様にその数が増えています。主要な理由の1つとして、ダークネットによってユーザーが得ることのできる匿名性があり、この匿名性により、ユーザーは違法な取引きを行うことができます。さらに、別の理由としてTorネットワークが提供する分散型アーキテクチャがあります。Torネットワークにより、法執行機関がダークネット市場に対抗する措置を講じることが次第に困難になっています。

ダークネット市場とは何か。

ダークネット市場とは、ディープWeb上で運用されるWebサイトのことで、一般的にTorネットワークを使ってアクセス可能です。ダークネット市場で売買される製品やサービスはさまざまで、違法な製品のうち、とりわけ、盗まれたクレジット カード、個人情報やIDのスキャン、個人クレジット レポート、オンライン決済システムの稼働している口座、資格情報が盗まれた状態の電子メール アカウント、偽造商品、マルウェアやエクスプロイトのキット、薬物、および武器が挙げられます。

ダークネット市場へのアクセス

ダークネット市場は秘密のWebサイトであり、実際のDNS名を持たないため、通常のブラウザや検索エンジンを使ってもアクセスできません。大多数のダークネット市場は.onionというTLD接尾辞を有しています。この接尾辞は、秘密のサービスであること、およびTORネットワークでしか到達可能でないことを示しています。この.onionサイトは英数字16文字とその後に続く.onion TLDから構成されます。この16文字には、‘aからzまで’の英字と‘1から7まで’の数字を含めることができます。以下に、秘密のサービス.onionの構文 を示します。

構文:[digest].onion

このdigestは、秘密のサービス用の識別キーに関するSHA1ハッシュの先頭80ビットをBase32エンコードして得た値です。Torは、この形式のアドレスを見つけるとすぐに、指定された秘密のサービスに接続しようとします。多くのダークネット市場ユーザーは、VPNネットワークも使用して秘密のレイヤーをさらに追加することで、送信元を隠します。

 図1 Torを使用してダークネット市場にアクセスする方法をハイレベルで示した図

決済モデル:

ダークネット市場における決済手続きは、“シルクロード”で使われている手続きに従ってきました。なお、このシルクロードは、最初でいちばん知られているダークネット市場の1つです。ダークネット市場での購買は、一般的に、Bitcoinのような仮想通貨を使って行われます。個人がダークネット市場で製品を買いたいと思ったら、自分のダークネット市場口座にBitcoinを振り込んで、ダークネット市場での購買を行う必要があります。バイヤーはBitcoinを購入して、自分が使っているダークネット市場口座に移動し、自分が望む仕入れを行います。バイヤーが購買に着手すると、それぞれの購買価格がBitcoinでバイヤーの口座から、ダークネット市場のエスクロウによって保有され、注文が完了するまでこの状態が続きます。購買注文が完了すると、Bitcoinが売り手(ベンダー)に解放されます。下図は、ダークネット市場で使われている決済モデルのフローチャートです。

図2  ダークネット市場の決済モデル

売買対象の一般的なデータの種類:

ダークネット市場では、多くの種類の違法な製品が売られています。このブログ記事ではダークネット市場で手に入る製品の種類をすべて扱うことはしませんが、ダークネット市場でサイバー犯罪者が取引する、一部の最も一般的な種類の情報やサービスを取り上げます。考察の対象となる種類には以下のものがあります。

  1. クレジット カード番号/セキュリティコード
  2. クレジット評価レポート
  3. パスポート スキャン
  4. 運転免許証スキャン
  5. 文書スキャンのテンプレート:
  6. 侵害されたアカウントの資格情報:
  7. マルウェア/エクスプロイト キット サービス:

クレジット カード:

ダークネット市場で‘クレジット カード’が売買されているところを目にしても驚くことではありません。クレジット カードはさらに詐欺を行うのに使われ、サイバー犯罪者が必要なことに資金を調達し利益を得るのにも使われるからです。クレジット カードを盗む方法は複数あります。その中にはフィッシング詐欺、ATMスキマーがあり、また、顧客のクレジット カード情報にアクセスできる業界の人間によるものもあります。クレジット カード詐欺は金融業界に何十億ドルものコストを強いています。クレジット カード詐欺の件数が多いため、金融業界は手一杯で各詐欺事件を調査することができず、詐欺の金額が極めて大きい場合にしか目を光らせない傾向があるといえます。サイバー犯罪者や詐欺師はこの困難な点を十分に認識しているので、各カードに関する取引の回数を少なくして詐欺活動を行うことで、詐欺対策システムに検出されないようにしています。以下は、ダークネット市場でのクレジット カード販売広告から撮ったスナップ ショットです。このダークネット市場では、検出を回避するためにカード1枚当たりの取引量を減らす助言も売り手が行っています。

図3 検出を回避するために取引を減らすよう、売り手はバイヤーに助言をする

ダークネット市場で販売されているクレジット カードの一般的な価格は、カード1枚当たり、米ドルで1ドルから25ドルです。残高が高い場合やプレミアム カード(プラチナ、ビジネス、企業、ゴールド)の場合、価格はさらに高くなります。まとめ売りの場合やクレジット カードを最大限に活用して詐欺を働くための指南書も付いてくる場合、中には価格がいっそう高くなるものもあり得ます。

下の図4は、ダークネット市場にある、ごく最近のクレジット カード販売一覧の一部です。

図4 ダークネット市場にある、クレジット カード販売一覧

クレジット スコア(信用度の得点):

盗んだ個人情報は、ダークネット市場で大きな需要があります。それは、フィッシング/マルウェア攻撃の被害者となる可能性のある個人または危険に晒されている顧客のPIIデータを保持する組織の実際の個人情報を使用して詐欺を働くサイバー犯罪が可能になるためです。クレジット スコア レポートは、ダークネット市場で最も高値で取引されるPII (個人を特定できる情報)の1つです。クレジット スコア レポートは、個人の信用度とその人物のクレジット ファイルに基づくクレジット スコアの分析レポートです。金融機関は、クレジット スコア レポートを使用して、ローンの承認に使用された顧客のクレジットの履歴を査定します。クレジット レポートは、金融機関によって使用されるだけでなく、政府、保険などの多くの他の組織、および要求を処理するためにクレジットの履歴を必要とする多くの他の組織によっても使用されます。クレジット スコア リストの価格は、レポートのスコアによって異なります。スコアが高いレポートほど、価格が高くなります。以下の図5と6は、ダークネット市場で販売されている2つのクレジット レポート リストの例を示しています。一方のリストはクレジット スコアが750以上で50ドル(USD)、もう一方のリストはスコアが720~820で49.50~100ドル(USD)の範囲の価格が付けられています。

図5 ダークネット市場のクレジット レポート リストの例

図6 ダークネット市場のクレジット レポート リストの例

パスポート/運転免許証

パスポートや運転免許証などの個人情報文書も、高い需要があります。それらを使用して、銀行口座やPaypalアカウントの開設、不動産の購入から、証明用にパスポートや運転免許証のスキャンしたコピーを必要とすることがあるその他の取引の実行まで、広範な詐欺行為を実行できるからです。多くの先進国はオンラインで使用できる公共サービスのために強力なデジタル アーキテクチャを備えています。このようなアーキテクチャでは、ダークネット市場で販売されている実際の個人情報を用いて、スキャンしたコピーを処理サービスに使用できるため、さらに詐欺を働く機会を増やしています。先進途上国でさえ、これらの脅威は免れません。インドなどの国は、公共サービスを電子的に提供し、市民のインターネットや提供されているオンライン サービスの利用を促進するためにデジタル アーキテクチャの変革に多額の投資をしています。特定の個人を特定できる情報(PII)データは、このような多くのサービスで使用されます。この種の情報は、複数のタイプの詐欺を働くために使用できるため、ダークネット市場で高い需要があります。

図7 ダークネット市場で販売されているインドと英国のパスポートとIDスキャンを示すリスト

文書スキャンのテンプレート:

ダークネット市場でよく見られる別のタイプのリストには(これらに限定されないが)、パスポート、運転免許証、SSN、銀行取引明細書、公共料金、クレジット カード、納税証明書、さまざまなベンダーの請求書などのテンプレートがあります。図8は、同じパスポートIDの詳細だが、顔写真が異なる、オーストラリアのパスワード テンプレートのサンプル例です。以下のテンプレートの販売者は、写真を含むパスポート内の詳細を変更できること、さらに引き続き合法に見せかけることも請け負っています。販売者は、Adobe Photoshop文書形式である.psd形式で完全に編集可能なバージョンのテンプレートを提供しています。また、販売者はAdobe Photoshopのクラッキングしたバージョンのダウンロード リンクも提供しているため、購入者はソフトウェアのライセンスを購入する必要なく.psdファイルを使用できます。販売された各.psdテンプレートの価格は、20~100ドル(USD)の範囲です。ただし、多くのリストには販売されているこれらのテンプレートがバンドルされています。たとえば、パスポートのスキャン、銀行取引明細書、請求書、公共料金で構成されるカナダの文書の場合、9つのテンプレート付きの1つのリストが割引価格387ドル(USD)で販売されています。それらを個別に購入した場合、元値は500ドルを上回ります。

図8 ダークネット市場でリストされているオーストラリアのパスポートのスキャンされたテンプレート

侵害されたアカウントの認証情報:

バンキング、通信、ソーシャル メディア ネットワークなどの多くのオンライン サービスの認証情報は、ダークネット市場でリスニングされています。図9は、ダークネット市場で販売されている侵害されたアカウントのリストの一部を示しています。

図9 ダークネット市場で販売されている侵害された認証情報

マルウェア/エクスプロイト キット サービス:

ダークネット市場で販売されている悪意のあるツールやサービスにはさまざまなタイプがあります。その一部については、サイバー犯罪のアンダーグラウンドに関するシリーズのパート2で既に共有しています。以下の図10は、ランサムウェアおよびBTC Stealerセットアップ サービスに関するダークネット市場のリストです。販売者は、購入者に対してツールを提供し、さらにその設定も行います。

図10 ダークネット市場にリストされているランサムウェア サービス

影響:

世界規模で見るとサイバー犯罪の被害は、推定損失額が数十億ドルと言われ、一部のレポートでは損失額全体は数兆ドルに達すると指摘されており、激増しています。この被害額の大部分は、このブログで取り上げたような、盗まれたPIIデータによって行われた詐欺に帰属しています。たとえば、アジアでは、オーストラリアが推定損失額が年間22億ドル(AUD)という個人情報関連の犯罪による最も大きな影響を受けています。また、オーストラリア連邦警察は、個人情報関連の犯罪が、引いては、年間150億ドル(AUD)の被害をオーストラリアにもたらす「組織犯罪」を成功させる鍵となっていると述べています。これは、実際に、個人情報(PII)を盗まれ、ダークネット市場で売買されたために、国家や組織が直面している莫大な影響を示しています。

結論:

ダークネット市場では、武器、ドラッグ、違法な製品を取引するサイバー犯罪者、詐欺師および犯罪者が、深層Webによって提供される匿名性のおかげで捕まることをさほど気にせずに取引できます。自身の利益のためにダークネット市場を管理または使用する犯人たちを特定するのは困難な場合がありますが、グローバルな取締機関がダークネット市場の背後にいる犯罪者に法の裁きを受けさせるために常に尽力しており、ダークネット市場の背後にいる多数の犯罪者が逮捕された成功例の数は増えてきています。インターネットおよびオンライン サービスのユーザーの大部分は、通常、デジタル ワールド内の脅威に気付かず、個人情報やシステムを保護するための一般的なオンライン安全対策に従っていない傾向があります。その結果、個人データが盗まれ、ダークネット市場で取引され、その情報はさらに詐欺を働くために使用されることになります。自身をより安全に保護するには、これらの犯罪者の行動パターンと取り引きされている情報のタイプを理解することが必要不可欠です。

組織は、サイバー攻撃を防ぎ、データが盗まれダークネット市場で取り引きされるリスクを軽減するために、データを保護しセキュリティ テクノロジを実装するための業界標準に準拠する必要があります。Palo Alto Networksの次世代セキュリティ プラットフォームは、安全にアプリケーションを有効にし、ネットワーク、クラウド、エンドポイント全体にわたり既知および不明な脅威を防御することで、デジタルな生活様式を保護する包括的なソリューションを提供します。次世代セキュリティ プラットフォームの詳細については、こちらをご覧ください。

参考資料:

  1. http://researchcenter.paloaltonetworks.com/2016/08/unit42-exploring-the-cybercrime-underground-part-1-an-introduction/
  2. https://en.wikipedia.org/wiki/Silk_Road_(marketplace)
  3. https://en.wikipedia.org/wiki/Darknet_market#/media/File:Marketlifetimes.png
  4. https://gitweb.torproject.org/torspec.git/tree/address-spec.txt
  5. https://svn.torproject.org/svn/projects/design-paper/tor-design.pdf
  6. https://en.wikipedia.org/wiki/Credit_score
  7. http://digitalindia.gov.in/content/about-programme
  8. https://www.deepdotweb.com/tag/arrested/
  9. https://www.ag.gov.au/RightsAndProtections/IdentitySecurity/Pages/Trends-in-Identity-Crime.aspx
  10. http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
  11. https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion
  12. https://www.afp.gov.au/what-we-do/crime-types/fraud/identity-crime
  13. http://www.abs.gov.au/ausstats/abs@.nsf/mf/4528.0/
  14. https://www.ag.gov.au/RightsAndProtections/IdentitySecurity/Documents/Identity-crime-and-misuse-in-Australia-2016.pdf
  15. http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
  16. https://www.paloaltonetworks.com/products/designing-for-prevention/security-platform

 関連コンテンツ

Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

  • 0
  • 2460

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 1533

製品概要スペックシート

  • 0
  • 1410

脅威の概要: WanaCrypt0r について判明していること

本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。

Rick Howard, Palo Alto Networks,
  • 0
  • 1135

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 889

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 664