世界No.1 のサイバー犯罪先進国ロシアで展開される最先端のFaaS サービス

Size: px

Start display at page:

Download "世界No.1 のサイバー犯罪先進国ロシアで展開される最先端のFaaS サービス"

しほこさくもと
5 years ago
Views:

1 THREAT REPORT Quarterly AFCC NEWS Vol.100 フィッシングという言葉が 1996 年に出現して以来手口は進化し続けており被害総額と被害者数は上昇の一途です RSA は 2003 年よりオンライン犯罪対策サービス RSA FraudAction を提供しており( 国内提供は 2006 年から ) トロイの木馬などマルウェア攻撃を検知しフィッシングサイトを閉鎖します FraudAction の中核である AFCC (Anti-Fraud Command Center: 不正対策指令センター ) では 200 名以上のフロードアナリストが 24 時間 365 日体制で数カ国語を駆使しマルウェア解析犯罪手口の解明に従事しています Quarterly AFCC NEWS は AFCC が定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報統計情報をまとめたものです (2017 年第 1 四半期版 : 2017 年 5 月 25 日発行 ) 今号のトピック 1. 世界 No.1 のサイバー犯罪先進国ロシアで展開される最先端の FaaS サービス世界最大の犯罪サービス市場と言われるロシアそこで提供されている世界で最も洗練されているオンライン犯罪サービスの最新動向を紹介す 2. 第 1 四半期の統計情報 2017 年第 1 四半期は相対的にオンライン不正活動はやや落ち着いた状態でマルウェアを使った攻撃もフィッシング攻撃も前年同期比で少ない件数で推移しましたとはいえフィッシング攻撃の件数は 2015 年までに記録されたことのない水準にあり抑制されているとはいえまた日本国内でホスティングさたフィッシングサイトの件数が大幅に増加し 5 年ぶりに世界全体のランキングに加わっ 1. サイバー犯罪先進国ロシアで展開される最先端の FaaS 1 サービスサイト RSA は犯罪者フォーラムで共有広告されているロシア語圏サイバー犯罪者による FaaS サイトの追跡を継続的に続けているこうしたウェブサイトの多くには ( 表社会のオンラインサービス事業者のサイトと同様に ) サービスの詳細説明利用規約価格表連絡先などが掲載されているが中には表社会の最先端顧客サポートに引けを取らない先進のバーチャルカスタマーサポート担当を導入しているところさえある図 -1: 仮想通貨交換サービスサイトのバーチャルカスタマーサポート担当 1 FaaS Fraud-as-a-Service の略オンライン型の犯罪サービス 1

頭金/手付金不要 100% の匿名性いつでも連絡OK ハッキング完了をを確認いただいた上でのお支払いで結構です完全な機密性を保

に連絡を取るよう心がけております図-2: Vkontakte*ハッキングサービスサイトのメインページ * ロシアで人気の SNS

電子財布サービス他) 口座乗っ取りサービス(SNS 機能ウェブメールサービスインスタントメッセージング機能など) マルウェア

以下の様な様々なデジタル通貨に対応している Bitocin, BTC-E, Advanced Cash, Qiwi,

2 頭金/手付金不要 100% の匿名性いつでも連絡OK ハッキング完了をを確認いただいた上でのお支払いで結構です完全な機密性を保証しますお客さまが注文されたことを知る者はいませんいかなる結果についても速やかなご連絡を保証しますできるだけ頻繁に連絡を取るよう心がけております図-2: Vkontakte*ハッキングサービスサイトのメインページ * ロシアで人気の SNS こうした FaaS サイトでは以下の様なサービスが提供されている現金化サービス(銀行口座提供資金の送金ギフトカード化電子財布サービス他) 口座乗っ取りサービス(SNS 機能ウェブメールサービスインスタントメッセージング機能など) マルウェアトロイの木馬攻撃ツール販売プロキシ VPN ホスティングサービスデジタル通貨交換偽造文書販売 DDoS サービス決済手段としても以下の様な様々なデジタル通貨に対応している Bitocin, BTC-E, Advanced Cash, Qiwi, YandexMoney, OKPAY, PerfectMoney, Payeer, Capitalist, EXMO, Promsvyazbank, Oschadbank, Paxum, KoronaPay 2

現金化は1000ドルからとなります送金事業者向けコードを使えば世界中のいかなる地点で

ご指定の送金事業者配下のお客さまのドロップ宛送金送金額の50% 欧州内の私たちのドロップ

3 運営者について私たちは複数の国で資金送金を行っています現金は私たちとみなさまのの間で自由に移動可能ですポルトガルチェコスロヴァキアギリシャでは現金化の上限はありませんイスラエルでも現金化できます受注後1 2時間で現金化する特急サービスもあります私たちはサービス内容を保証しておりますヨーロッパとイスラエルでの現金化は1000ドルからとなります送金事業者向けコードを使えば世界中のいかなる地点でも現金化可能です(料金は別途応談となります) 資金の出所はいっさい問いません利用料金ご指定の送金事業者配下のお客さまのドロップ宛送金送金額の50% 欧州内の私たちのドロップ宛の送金同30% 欧州内のみなさまのドロップ宛の送金同50% 秘密コードを使った送金のご相談も承りますリファレンスナンバーをご用意します私たちは資金送金システムにアクセス可能な方との提携を常に歓迎しておりますそうしたシステムに関する内部情報の買い取りを行っております図-3: 送金事業者による現金化サービス 3

料金表パスポートスキャン $1 パスポートスキャン+登録 $2 パスポートスキャン+登録

写真入りパスポートとスキャン+登録 $5 写真入りパスポートとスキャン+登録+他の文書 $6

4 パスポートスキャンショップ私たちはバラエティに富んだパスポートスキャンサービスを提供しております様々な形式のパスポートを完璧な水準でスキャンしますパスポート以外にも性別年齢国籍住所などに関する様々な文書をスキャンします決してPhotos hopではありません私たちはリアルで有効なものしかご提供していません! 料金表パスポートスキャン $1 パスポートスキャン+登録 $2 パスポートスキャン+登録 +他の文書 $3 写真入りパスポート $3 写真入りパスポートとスキャン $4 写真入りパスポートとスキャン+登録 $5 写真入りパスポートとスキャン+登録+他の文書 $6 支払い方法 Ya ndex Money, Qiwi, WebMoney, PerfectMoney, Bitcoin 図-4: 販売目的の偽造文書スキャンサービス 4

5 図 -5: 攻撃用ツール販売サイトの価格表ページ *Word Excel PPT PDF ファイルを使った攻撃用ツールとみられる 1 日 11 ルーブルですべてのプロキシ (3071 種類 ) を利用可能非専用プロキシの更新リスト HTTP(S)/ SOCKS4/ SOCKS5 プロキシのオンライン統計情報図 -6: 様々なプロキシの提供サービス 5

まとめ RSA が確認している限りこうした FaaS サイトは他の地域からのオンライン犯罪者たちによって犯罪フォーラムや闇市場のような伝統的なチャネルを通じて宣伝されているにもかかわらず

先進性の面でも長足の進歩が見られると RSA は感じている先進的技術を取り入れたサービスのおかげで攻撃のあらゆる局面で細かな制御ができるので利用者であ

サイト)では情報が便利でわかりやすく整理されていて取引もウェブサイトを通じて迅速に行えるため犯罪に手を染めたことのない利用者にとっても使いやすいその結果売り手

6 まとめ RSA が確認している限りこうした FaaS サイトは他の地域からのオンライン犯罪者たちによって犯罪フォーラムや闇市場のような伝統的なチャネルを通じて宣伝されているにもかかわらず見受けられるのはロシアの地下社会に限られる FaaS の提供にウェブサイトが用いられること自体は目新しい話ではないがこうしたサイトの存在感が急激に高まり先進性の面でも長足の進歩が見られると RSA は感じている先進的技術を取り入れたサービスのおかげで攻撃のあらゆる局面で細かな制御ができるので利用者である犯罪者たちは完全に自立することができる (古くからある)犯罪者フォーラムや闇市場が強要するルールや規制などにも一切縛られずにすむさらにこのプラットフォーム FaaS サイト)では情報が便利でわかりやすく整理されていて取引もウェブサイトを通じて迅速に行えるため犯罪に手を染めたことのない利用者にとっても使いやすいその結果売り手買い手の双方にとって時間を節約できより短い時間でサイバー攻撃の準備を整えられるというわけであるプロフェッショナルカスタムハッキングサービスウェブメールサービスソーシャルメディア Skype ハッキングのトレーニング最短5分最長5日で完了図-7: ハッキングの代行や研修のサービスに関する広告 6

2. 第 1 四半期の統計情報銀行利用者を狙うトロイの木馬の認知件数 ( 四半期推移 ) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り 2017 年第 1 四半期も前四半期に引き続き大幅減 (47% 減 ) となった 700 600 500 400 300 665 200 488 100 295 272 144 0 2016-Q1 2016-Q2

7 2. 第 1 四半期の統計情報銀行利用者を狙うトロイの木馬の認知件数 ( 四半期推移 ) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り 2017 年第 1 四半期も前四半期に引き続き大幅減 (47% 減 ) となった Q Q Q Q Q1 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため攻撃の活性度を反映するトロイの木馬を使った攻撃に用いられた通信ノード (URL) の認知件数の推移 ( 四半期推移 ) トロイの木馬の感染更新窃取した情報の送信などの目的で用いられた URL の認知件数こちらもトロイの木馬の認知件数と同様の傾向で約 3 分の 1 に減少した前四半期からさらに大幅減となった 1,800 1,600 1,400 1,200 1, ,673 1, Q Q Q Q Q1 通常亜種 1 種に複数の URL が関連づけられているので亜種の件数を URL の件数が大幅に上回る 7

認知されたトロイの木馬亜種の分類 2017 年第 1 四半期世界を対象とした攻撃への関与が確認されたトロイの木馬について RSA AFCC が認知したものを原種別に分類した結果

引き続き変動が激しい Ransom Ware 18% DNS Changer 3% Xtream RAT 5% Citadel 8% Zeus 15% Pny Stealed 12% ISR

このチャートでは馴染みの少ない顔ぶれがランクインする一方で前回 2 位だったトルコが下位に沈み 3 位の中国 4 位のドイツが圏外に去ったその他 12% インド 4% トルコ 3% ポーランド

8 認知されたトロイの木馬亜種の分類 2017 年第 1 四半期世界を対象とした攻撃への関与が確認されたトロイの木馬について RSA AFCC が認知したものを原種別に分類した結果前四半期にトップに立った Ransom Ware が今四半期もその座を保った 2 位以下では下位に沈んだ Zeus が 2 位に戻った一方で Citadel が下位に沈むなどその他 10% 引き続き変動が激しい Ransom Ware 18% DNS Changer 3% Xtream RAT 5% Citadel 8% Zeus 15% Pny Stealed 12% ISR Stealer 15% Dyreza 15% マルウェア攻撃のホスト国別分布 ( 月次 ) こちらのチャートもトップの米国以外の変動が激しいインドネシアコロンビアバングラデシュなどこのチャートでは馴染みの少ない顔ぶれがランクインする一方で前回 2 位だったトルコが下位に沈み 3 位の中国 4 位のドイツが圏外に去ったその他 12% インド 4% トルコ 3% ポーランド 3% 米国 27% バングラデシュ 4% フランス 5% オランダ 6% インドネシア 12% コロンビア 7% ウクライナ 9% ロシア 9% いずれもホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類 8

フィッシング攻撃数 ( 四半期推移 ) 2017 年第 1 四半期のフィッシング攻撃件数 186,438 件は前四半期比 34% 減前年同期比 23% 減と比較的穏やかな立ち上がりとなった ( それでも 2015 年までは一度も記録したことのない水準である ) 600,000

2014- Q1 2014- Q2 2014- Q3 2014- Q4 2015- Q1 2015- Q2 2015- Q3 2015- Q4 2016- Q1 2016- Q2 2016- Q3 2016- Q4 2017- Q1 フィッシング攻撃を受けた回数 ( 国別シェア ) 2017

9 フィッシング攻撃数 ( 四半期推移 ) 2017 年第 1 四半期のフィッシング攻撃件数 186,438 件は前四半期比 34% 減前年同期比 23% 減と比較的穏やかな立ち上がりとなった ( それでも 2015 年までは一度も記録したことのない水準である ) 600, , , , , , , , , , , , , , , , , , , Q Q Q Q Q Q Q Q Q Q Q Q Q1 フィッシング攻撃を受けた回数 ( 国別シェア ) 2017 年第 1 四半期最も多く攻撃を受けた上位 3 件は米国カナダ南アフリカでマルウェアのチャートと異なり目を惹くような顔ぶれの変化もなかった米国 54% その他 4% スペイン 2% ブラジル 3% ペルー 3% コロンビア 3% オランダ 4% メキシコ 4% 南アフリカ 7% カナダ 18% 9

フィッシング攻撃のホスト国別分布 ( 月次 ) 2017 年第 1 四半期米国が首位を守りながらも 17 ポイントも比率を下げその分 2 位以下の占める比率が上がったのが特徴 2 位の中国は圏外から 1 年ぶりにランクインした他日本が 2012 年 5 月以来 5 年ぶりにランクインした香港 3% フランス 3% スペイン 3% 日本 3% その他 19% 英国 2% ポーランド

年分を超えるフィッシングサイトが検出された計算になる 250 224 213 200 180 150 100 50 0 43 44 36 26 6 3 1 7 10 11 16 年 3 月 16 年 4 月 16 年 5 月 16 年 6 月 16 年 7 月 16 年 8 月 16 年 9 月 16 年 10 月 16 年 11 月 16 年 12 月 17 年 1 月 17 年 2 月 17

10 フィッシング攻撃のホスト国別分布 ( 月次 ) 2017 年第 1 四半期米国が首位を守りながらも 17 ポイントも比率を下げその分 2 位以下の占める比率が上がったのが特徴 2 位の中国は圏外から 1 年ぶりにランクインした他日本が 2012 年 5 月以来 5 年ぶりにランクインした香港 3% フランス 3% スペイン 3% 日本 3% その他 19% 英国 2% ポーランド 2% オランダ 3% ロシア 5% ドイツ 6% 中国 8% 米国 40% いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類日本でホストされたフィッシングサイト ( 月次推移 ) 2017 年に入って日本でホストされたフィッシングサイトは 20 倍に急増した 1 月一ヶ月で昨年 1 年分 3 月までで過去 2 年分を超えるフィッシングサイトが検出された計算になる年 3 月 16 年 4 月 16 年 5 月 16 年 6 月 16 年 7 月 16 年 8 月 16 年 9 月 16 年 10 月 16 年 11 月 16 年 12 月 17 年 1 月 17 年 2 月 17 年 3 月フィッシング対策協議会の発表によると同じ第 1 四半期の間に報告されたフィッシング攻撃の件数も昨年第 1 四半期の 6,332 件以来 2,094 件 ( 第 2 四半期 ) 1,657 件 ( 第 3 四半期 ) 841 件 ( 第 4 四半期 ) と続いた減少傾向が反転 2,229 件に増加した同協議会が発信している注意喚起も金融機関を騙る攻撃が減少する一方で Microsoft や Apple Google Amazon を騙る攻撃に関する内容が目を惹くこの報告は AFCC が把握している攻撃の数です AFCC が毎月発表する RSA Monthly Online Fraud Report が Web に掲載されています本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部マーケティング部嶋宮知子 Tel : (03) ( 直通 ) tomoko.shimamiya@rsa.com 10

11 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略新旧様々な脆弱性を突くマルウェアやソーシャルエンジニアリングなどあらゆる攻撃手法を駆使して政府機関や公共機関に対して長期にわたって執拗に行われる攻撃全般の総称である Blackshades CAPTCHA トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool) 型のマルウェア Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化された公開チューリングテスト機械的に判定しにくいように文字をゆがめて表示した画像を用いて人とコンピュータを区別する方法またそれに使われる画像 C&C サーバ Citadel Command and Control Server ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ流出した Zeus のソースコードから生まれたトロイの木馬のコード名開発者集団が CRM を積極的に活用しているのが大きな特徴 Zeus の備えていた機能に加え次々と新しい顧客志向の機能をリリースしており 2012 年前半現在大流行している CITM Chat-in-the-Middle の略通常のフィッシング攻撃でニセサイトに誘導しサポート担当者を装ったチャットにより秘密の質問とその答えなどの高機密情報を詐取する攻撃方法 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム最も格式が高かったが主要メンバーが相次いで逮捕されたことから 2008 年 9 月閉鎖実態は FBI によるおとり捜査用のフォーラムだった fast-flux ボットネットの型のコード名転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる不正サイトの特定閉鎖を困難にするため複数のドメイン上のサーバを自動的に使い回す点が大きな特徴 MITB Man-in-the-Browser の略感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知セッションをハイジャックしてミュール ( 本ページ下段参照 ) の口座に預金を振り込むオンライン詐欺手法ブラウザの設定ファイルを変更して不正なコードを実行させることからこの名がついた Neosploit マルウェアのコード名 PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが 2008 年 7 月開発チームが業績不振を理由に廃業宣言した RBN Rock Phish SilentBanker Russian Business Network 悪名高いロシアのサイバー犯罪者組織世界最大規模のオンライン犯罪者集団のコード名 2007 年 12 月に発見されたトロイの木馬のコード名世界各国の 400 以上の銀行に対するトランザクションを検知しセッションハイジャックすることで信用情報を詐取する二要素認証や SSL にも対応している Sinowal トロイの木馬のコード名自動的にサイレントインストールされ勝手にネットワークに接続し機密を外部に転送する 2006 年に最初に確認されており Torpig の別名を持つ SpyEye トロイの木馬のコード名 2010 年急拡大し Zeus に次ぐ地位を占めるに至った SpyEye の作者が Zeus の作者からコードを譲り受け両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり物理的なインフラを攻撃する目的で開発された初のマルウェア USB メモリ経由で感染し重要インフラに関わるシステムを麻痺させようとする ZeuEsta Host Zeus を感染させたり Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホスティングサービス Zeus トロイの木馬のコード名発生は 1996 年と古いが 2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めているオンラインバンクやクレジットカードに関する秘密を検索し盗出するカーディングミュール不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為商品は通常売却して現金化する盗品の受領転送や詐取した現金の振り込み転送を担う運び屋のような役割ただし詐欺師がまっとうな仕事を装った採用情報にだまされて知らぬ間に犯罪の片棒を担がされている人を指すランサムウェア他人の PC に感染してそのローカルデータを勝手に暗号化したり PC が起動しないように MBR( マスターブートレコード ) に不正な書き換えを加えるなど一方的にユーザがデータにアクセスできないようにした上で身代金を要求するマルウェアリシッピングカーディングによって手に入れた商品を他国へ転送した上で換金する不正行為盗んだクレジットカード情報を現金化する手段の一つ最近はサービスとしても提供されている 11

「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」

「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」 THREAT REPORT Quarterly AFCC NEWS Vol.13 フィッシングという言葉が 1996 年に出現して以来手口は進化し続けており被害総額と被害者数は上昇の一途です RSA は 23 年よりオンライン犯罪対策サービス RSA FraudAction を提供しており( 国内提供は 26 年から ) トロイの木馬の存在を検知しフィッシングサイトを閉鎖します FraudAction