システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
November 28, 2015 15:00
by 岡本顕一郎(THE ZERO/ONE編集長)
トレンドマイクロのリサーチャーであるマキシム・ゴンチャロフ氏は、「BPHS」の実態についての講演を行った。BPHSとは「Bulletproof Hosting Services)の略で、麻薬売買、児童ポルノ、DoSやボットネットワークの貸し出しなど、アンダーグラウンドサービスに対応した、サイバー犯罪者向けのレンタルサーバー及びホスティングサービスのことだ。
BPHSはアンダーグラウンドのサービスにも関わらず、サイバー犯罪者である「顧客」との関係には誠実だという。顧客のニーズを汲み取り、提供できないサービスや禁止行為についても明確に掲げている。また顧客が望むサービスであれば、可能な限り対応する傾向にあるようだ。顧客第一主義とも言えるBPHSだが、提供できるサービスには難易度があるという。マキシム氏が述べた、サービス提供の「ハードルが高いもの」を上から順に並べると下記のようになる。
(1)児童ポルノ
(2)C&Cサーバー
(3)エクスプロイトキット
(4)マルウェアのドロップゾーン
(5)スパム
(6)ブルートフォースアタック
(7)VPN
(8)SEO
(9)Torrent
(10)DMCA違反コンテンツ
児童ポルノは各国政府の取り締りが厳しいため、BPHSでも簡単にはサービスを提供することはできないようだ。
また、BPHSは政治的、地理的な影響を受けやすいと指摘する。例えば、ロシアのあるBPHSでは、攻撃対象の国について「ロシア・ウクライナなど旧ソ連の国々へは禁止」と明示をしていたが、2014年にロシアとウクライナ間でクリミア危機が勃発すると、この注意書きから「ウクライナ」の文字が消えたという。
ゴンチャロフ氏は、他にも実際にサービスを提供しているBPHSをいくつも提示した。ダークウェブと違い、どのBPHSもインターネットで検索すれば簡単に見つけることができる。どの業者のサイトも一般的なホスティングサービス会社のウェブサイトと一見変わらないが、提供しているサービスはどれもサイバー犯罪に直結しているものばかりだ。サイバー犯罪者が利用するウェブサービスについては以前、「初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態」の記事でも取り上げたので、そちらもご参照いただきたい。