前回記事ではアンダーグラウンドマーケットで取引されるインフラについて説明しました。それらのインフラの中でも、防弾ホスティング(BPH)サービスは、長きにわたりサイバー犯罪インフラを保護する重要な要素としてサイバー犯罪者に利用されています。これらのサービスは、サイバー犯罪者の不正活動をどのように保護しているのでしょうか。また、サイバー犯罪者はどのように防弾ホスティングサービスを利用してビジネスを継続しているのでしょうか。
多くのサイバー犯罪活動には、ある程度の組織、計画、およびその背後に存在する個人またはグループの技術的洞察を反映する何らかの形の活動基盤があります。アンダーグラウンドで提供されるインフラを利用することは、サイバー犯罪者が不正活動を遂行する上で必要不可欠のものです。弊社トレンドマイクロは、サイバー犯罪を幇助する情報が闇市場で取引される方法や提供されるサービスの種類について別々のホワイトペーパーにまとめて公開したのち、本ブログでも概説しました。本ブログ記事では、サイバー犯罪者がサーバなどの資産を不正に確保し、ビジネスで生き残るために採用する手口について解説します。
図1:防弾ホスティングプロバイダの内訳
売り手側のサイバー犯罪者は、自身のビジネスを保護するためにさまざまなメカニズムを利用します。これらの「ビジネス」で提供される商品やサービスは、多くの場合、利用者側のサイバー犯罪者からの依頼や要求に個々に適応させています。悪用防止サービス、あるいはオフショアホスティングとしても知られる防弾ホスティングサービスは通常、侵害されたサーバとインフラで構成されており、悪用に対する高いレベルの耐性を備えています。防弾ホスティングサービスのプロバイダは、不正使用に対する情報開示の要求通知について利用者に迅速に共有したり、サーバを別のIP範囲に自動的に移動したりするなどのカスタマーサポートを提供することがよくあります。
防弾ホスティングサービスは、利用者であるサイバー犯罪者の活動を支えるためにさまざまな方法を採用し、法執行機関の捜査から保護するための対策を提供します。防弾ホスティングサービスは、国や地域の法規制や地理的特性に考慮して、戦略的にリソースを海外に割り当てる傾向があります。
侵害されたサーバ上に防弾ホスティングを構築するのが最も安価な方法ではありますが、ホストが長く存続しないという欠点もあります。自身のデータセンターとインフラを所有するホスティングプロバイダは、長期的な可用性を必要とするシステムの存立を可能にします。
図2:2020年1~4月の間にアンダーグラウンドフォーラムで使用されたIPアドレスのジオロケーション注:図2のマップ上の青いピンは、闇市場サイトの特定のIPアドレスが確認された場所を指しています。円印は、特定の国に存在するIPアドレスのクラスタを示唆します。各円印の色は、特定の国に存在するIPアドレスの密度によって色分けされています
防弾ホスティングを構築したホストが存続する可能性は、運営者の適応性に依存します。もしある防弾ホスティング事業者が摘発され閉鎖された場合でも、すぐに強制捜査や逮捕要請の要求に対処する形で新たなペーパーカンパニーを立ち上げ、事業の骨組みを構築することができます。アップストリームでサービスを提供するプロバイダの場合は、IP範囲を新たな事業者に移動するだけで済みます。一部のプロバイダは、自身の利用する仮想プライベートサーバ(VPS)を再配置することで、法執行機関によるシステムの押収をさらに困難なものにしています。フロントエンドのリバースプロキシサーバとバンドルすることで、ホストはサービスの高可用性をも確固たるものにします。具体例としてホストは、さまざまな国に積極的に負荷分散する前に、特定の場所から一定期間継続的に動作する場合があります。
■防弾ホスティング:利用者側からの視点
サイバー犯罪者の売り手側は、地域や国に基づく制限やサービスの多くの違いに配慮し、それぞれの利点を組み合わせることでビジネスモデルを最大化します。弊社が遭遇した防弾ホスティングの広告の多くは、提供するホスティングサービスの種類だけでなく、利用機器が物理的に配置されている国についても情報を公開しています。
さらに防弾ホスティングサービスのプロバイダは、地域の合法性や法執行機関が国際的にどのように対応し協力し合っているかについて十分に事前調査した上で、多くの情報を持っているようです。以下の表はアンダーグラウンドのサイバー犯罪者のやり取りから防弾ホスティングの設置国ごとにどのような不正活動に適しているかの情報をまとめたものです。これらのサービスの運営者は、有用なログファイルの数を最小限に抑え、Torネットワークなどの匿名ソースからシステムにアクセスするのが一般的です。
図3:サイバー犯罪者がその活動に応じて利用すべきホスティング国別推奨表(アンダーグラウンドで活動するサイバー犯罪者のホスティングに関するフィードバックから整理)凡例:[Y]es(はい):アンダーグラウンドで活動するサイバー犯罪者が、該当国(表の上)の防弾ホスティングサービスを利用した当該不正活動(表の左)を推奨していた[N]o(いいえ):アンダーグラウンドで活動するサイバー犯罪者が、該当国のBPHサービスを当該不正活動に使用しないよう強く推奨していた[M]aybe(条件による):アンダーグラウンドで活動するサイバー犯罪者が、攻撃予定地域などの制限された要因に考慮して、該当国のBPHサービスを利用するよう推奨する場合があった
図4:防弾ホスティングサービスの人気ランキングページの例(英語話者向けのサービス一覧[左]、ロシア語話者向けのサービス一覧[右])
利用者は、他の購入者と同様に、闇市場で入手可能なホスティングプロバイダの料金や機能などを比較することができます。弊社が発見した不正サイトでは、1,000を超えるホスト(正当なものと疑わしいものの両方)からの情報を統合し、詳細な利用者レビューとともに、それらをカテゴリと機能に分類しています。図2の内訳に示されているように、ホストが配置される地理的な場所は、購入者の戦略に影響を与える可能性のある重要な要素です。
■DDoS攻撃とフォーラムスクレイピングを回避するための犯罪的アプローチ
アンダーグラウンドフォーラムはよく、フォーラムに不満を持つメンバー、あるいは競合他社による分散型サービス拒否(DDoS)攻撃の標的となります。これらの攻撃によりサービスがダウンした場合、フォーラムの評判に大きな影響を与える可能性があります。ダウンタイムが長引き評判が下がってしまった場合、メンバーは他のフォーラムを利用するようになります。メンバーが去ると、評判の落ちたフォーラムの運営者の収入に影響を与えることになります。一方、DDoS攻撃から保護する対策を十分に確立している場合、安定したプラットフォームとしてフォーラムの評判が高まります。
図5:DDoS保護サービスによって保護されたアンダーグラウンドフォーラムの例
フォーラムの運営者は、コンテンツの自動スクレイピングを回避するためにさまざまなメカニズムも採用しています。フォーラムに対するスクレイピングは、セキュリティ研究者や法執行機関の捜査官がアンダーグラウンドで活動する攻撃者の内部活動を分析するために実施されることが多々あります。一部のフォーラムでは、一時的または利用が許可されていないユーザに対して、24時間以内に10ページしか表示できないように設定されています(図6)。
図6:アンダーグラウンドフォーラム内で確認されたフォーラムをスクレイピングから保護する対策の一例
図7:captchaシステムの代わりに使用される質問の例
正規サイトと同様に、犯罪フォーラムもCaptchaシステムを使用して、自動スクレイピングあるいは検索エンジンやボットによるアクセスからWebページを保護しています。ただし、アンダーグラウンドで活動するサイバー犯罪者の一部は、Captchaシステムに変わる実用的な手段を考え出しました。不正サイトは通常、さまざまなアプリケーション分野に関するランダムな質問をします。その質問の中には、フォーラムの対象読者の文化的背景に関する知識が必要なものもあります。例として、上掲図7は、そのようなシステムの例を示しており、まず一般知識に関する質問のカテゴリから始まり、機械翻訳に依存する非ネイティブスピーカーを困惑させるマニアックな質問が後に続きます。図内の3行目の質問に対する答えは英語を基準に考えると正解が難しいかもしれません。しかし、ロシア語の表現では、1983年に公開されたソ連映画「Mary Poppins, Goodbye」の歌「33Cows」を暗示しています。
インフラを提供するプラットフォームが多様化するにつれて、不正なソースの発見が難しくなることが証明されています。トレンドマイクロのホワイトペーパー「The Hacker Infrastructure and Underground Hosting: Cybercrime Modi Operandi and OpSec(英語)」は、サイバー犯罪の観点から防弾ホスティングを取り巻くエコシステムに焦点を当てることを目的としています。特に、セキュリティリサーチャや法執行機関が防弾ホスティングサービスのプロバイダを弱体化させるために役立つ可能性のある主要な生存原則と弱点について概説しています。アンダーグラウンドで取引される商品や情報、闇市場の内情について知り置くことは、サイバー犯罪者が今後利用するであろう攻撃手口や戦略に関する推測を立てるために役立ちます。サイバー犯罪者を取り巻く最新の活動動向について認識してことで、適切なセキュリティ対策を事前に講じることが可能になります。
参考記事:
記事構成:岡本 勝之(セキュリティエバンジェリスト
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
Support the originator by clicking the read the rest link below.
