情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年 6月 29日号
***************************************************************
サイバー犯罪組織 中国ブラックマーケットの構造と仕組み
***************************************************************
■危険な闇市場DarkWebのと中国ブラックマーケットの存在
各国のサイバー攻撃者【いわゆるハッカー】達は、金銭を得るために様々な工夫をしているが、
ハッキングして入手したデータは売買して金銭に換えている。
不正入手した情報を売買する場所は、「DarkWeb」と呼ばれる闇サイトが有名である。
「DarkWeb」はハッキング関連の情報売買だけではなく、「武器」「麻薬」「違法ポルノ」「テロ犯罪」
等の犯罪に関わる様々な違法の情報も売買している。
しかし中国系のハッカーはWebアクセスによる「DarkWeb」とは別に、SNSを使った闇市場を
構築し、そこは「中国ブラックマーケット」と呼ばれている。
そして「中国ブラックマーケット」で扱われる情報は、「DarkWeb」とは違いハッキング関連の情報が
ほとんどであり、言わばサイバー攻撃のために作られた闇市場である。
「中国ブラックマーケット」は、ハッカー達が組織的な構造になっていて、会社組織のような上下
関係のような構造になっている。ハッキングに必要な情報をハッカー同士で共有しそれをベースに
して組織的にハッキングを実行する。
組織のボスはグループを作りメンバーを募集し、新しいメンバーは「弟子」と呼ばれ、ボスは「師匠」
という位置づけになる。
師匠は弟子に自分のハッキング技術を伝授し教育する、弟子は一定期間師匠のために働か
なければならない。師匠が指示を出してハッキングを行うのである。弟子の数が増えれば、個々の
特性に合わせ分担してハッキング作業を行う。正に会社組織である。
師匠は弟子を厳しく統制することでハッキング技術の向上とハッキング情報の売買によって
利益を得る仕組みになっている。
但し、誰でも容易に新しいメンバーになれるわけではなく、グループ長以上の権限を持つ人から
許可されたメンバーのみが、招待コードを使ってアクセスできる仕組みになっている。
中国ブラックマーケットは【SNSを活用したアクセス】【厳しく統制され組織化された管理体制】
【アクセス制限による許可されたメンバーのみアクセス可能】などにより、誰からも邪魔されない
構造の闇市場を構築し活動しているのである。
■日本がサイバー攻撃を受けている国のトップは中国
日本に対するサイバー攻撃を国別に比較すると中国からのサイバー攻撃が最も多く、全体の
半分以上の割合がある。
中国からのサイバー攻撃が多い理由は、【日本のセキュリティレベルが低い】【日本はお金を
持っている】【物理的な距離が近い】などが考えられる。
仮想空間で行われるサイバー攻撃なのだから【物理的な距離が近い】というのは変ではないか?
と思う人もいるだろう。しかし実際にハッキングした情報を利用して不正利用し、換金率の高い
物品を購入した場合、物理的な距離が近いとそれを自国に送る送料が安く済むという事だ。
■日本は格好の餌食となっている
日本は年間1000億円以上の金銭をサイバー攻撃によって失っている。
「ポイントやキャッシュレスペイ、クレジットカードの不正利用者逮捕」のようなニュースをみると、
“犯人は中国人”“SNSから情報を得た”というコメントがある記事をよく見かける。
これが中国ブラックマーケットからのサイバー攻撃による被害である。
中国ブラックマーケットで情報を購入した犯罪者が金銭目的で不正行為を行っている。
しかし検挙されニュースになるのは極僅かであり、我々は日々狙われ金銭を奪われているのだ。
中国ブラックマーケットのハッカーは自己のハッキング技術を検証する目的で、各種サーバを
ハッキングする。ハッキングにより管理者権限を奪われたサーバはリスト化されて「中国ブラック
マーケット」内でハッカー達に情報共有される。
サーバType/IPアドレス/ユーザID/パスワード/などサーバの管理者権限情報の詳細全てである。
残念なことにそのほとんどが、日本の有名なISP/レンタルサーバ/クラウドなどの事業者が所有して
いるサーバである。
つまり、そこを利用する企業や、政府機関、大学などの管理下のサーバがハッキングされ管理者
権限を奪われているということである。
SIPSが調査開始した2012年から8年間で日本のサーバはIPアドレス数で延べ40万台以上の
サーバがハッキングされ管理者権限を奪われている。
また悪性コードや悪性プログラムを配布する目的のWebサーバも毎月2000台以上確認されている。
その中には人気芸能人や美容関係、不動産、人気ブログなどアクセス数の多いサイトが含まれている
更に各種セキュリティソリューションの回避方法なども情報共有されている。
セキュリティソリューションも迂回して自由にログインし好きなようにされているのである。
我々は、このような状態の環境を利用してビジネスを行っているのだから、情報が流出するのは
当然である。
最終的にハッカー達は、有用な情報が入手できれば中国ブラックマーケットで売買して金銭を
得るという事になる。
以下は、SIPSにより今年確認した売買されている情報である。
---------------------------------------------------------------
◇確認された売買情報と件数(1月~6月) トータル131件
日本のDB情報の売買 55件
SNSアカウントの売買
13件
メールアカウントの売買 24件
クレジットカード情報の売買
14件
ショッピングサイトアカウントの売買 15件
キャッシュレスペイアカウントの売買 2件
スマホ関連情報の売買 1件
ネット銀行アカウントの売買
2件
広告アカウントの売買 1件
テーマパークアカウントの売買 2件
ファンクラブアカウントの売買
1件
パスポート・運転免許情報の売買 1件
※1件当たりの売買情報数: 数万個~数百万個(最大1件で2億個販売する売買も存在)
※DB情報の売買は情報の内容が不明なためDBとしてカウント
---------------------------------------------------------------
ここに書いた中国ブラックマーケットの構造と仕組みなどは、極一部であるが、【ハッキングの仕組みを
構築するために情報共有している技術的内容】などを見ると、正直唖然とする。
このような組織を相手に、我々が考えるセキュリティ対策は本当に正しいのか?
既に攻撃を受けているとしたら被害を最小化するために何をすべきか?
今一度考え直す必要がありそうだ。
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved