ハッキングスキルはお金で解決 サイバー犯罪のコストと利益

『Security Affairs』

November 22, 2017 08:00
by 『Security Affairs』

脅威インテリジェンス企業Recorded Futureが行った研究によれば、サイバー犯罪は採算性の高いビジネスであり、その投資利益率は莫大なものになりかねない。

初心者のハッカーたちが、自分のボットネットを構築するのは安くて簡単だ。またバンキング系トロイの木馬なら、プロのマルウェア開発者から3000ドルから5000ドルで買うことができる。

銀行口座のクレデンシャル情報を盗むためのウェブインジェクションは、100ドルから1000ドル。そして検出を避けるためのペイロード難読化ツールにかかる費用は50ドル以下に抑えられる。もちろん犯罪者らには月額150ドルから200ドルの防弾ホスティングサービスが必要となる。

この違法ビジネスにおける、もう一つの重要な側面は「キャッシュアウト(盗み出した情報を、実際に使える金に替える工程)」だ。犯罪初心者が「プロフェッショナルなマネーロンダリングをしたい」と望むのであれば、被害者の口座から盗んだ金の50%~60%を手数料として支払わなければならない、とRecorded Futureの研究者たちは報告している。この手数料はビットコインやウエスタン・ユニオン(送金業務を行なっている会社)で、あるいはその他の直接的な手法でも支払うことができる(ただし5%から10%ほどの追加料金が発生する)。

「マルウェアがうまく配置されて、クレデンシャル情報を傍受することができたなら、犯人は最終的な報酬を得るために、一連の関係者たち(運び屋の使い手やマネーロンダリングの仲介者)と協同しなければならない」と、Recorded Futureの分析は述べている。

「特に評判が良く、迅速な処理を行うことができる資金洗浄業者であれば、被害者の口座から送金が行われるたび、その50%から60%もの手数料を要求する。場合によっては、資金のマネーロンダリングを行ったのち、希望する支払い方法(たとえばビットコインやWeb Money、ウエスタン・ユニオンなど)で首謀者に資金を送金するために、さらに5%から10%の追加の手数料を資金洗浄業者へ支払わなければならないこともある」

Recorded Futureのアドバンスト・コレクション・ディレクターAndrei Barysevichによれば、サイバー犯罪への投資のコストはさらに高額となり、その見返りが膨大な額となる可能性もある。

「我々は、ボットネット作戦の平均投資利益率が400%から600%になると見積もっている」とBarysevichは説明した。

どんな「収益」が違法行為となるのか?

そこから得られる利益は直接的でも間接的でもある。主な利益はもちろん、「銀行口座から盗んだ資金」と(直接的に)関係しているが、犯罪者は「口座のログイン認証の情報を1件あたり100ドルから200ドルで販売する」、あるいは「侵害したデバイスにオンデマンドでマルウェアを仕込むサービスを提供する」という方法で金を稼ぐこともできる。

そんな「サービス」を探し出すための場所として適切なダークウェブは、犯罪者たちにとっての優れた仲介者である。

このような経済的側面は、ダークウェブの「マルウェアグッズ」や「マルウェアサービス」の需要に大きく貢献している。研究者たちは、アンダーグラウンドのサイバー犯罪が「非常に専門的な何かに特化した製品やサービス」へと進化する様子を観察している。

例えばDDoS攻撃を開始するためのマルウェアは1つ700ドル、スパムやフィッシング活動に用いるための全体的なインフラなら数千ドルとなる。

「アンダーグラウンドにおけるサイバー犯罪の世界は非常にバーティカルであり(サイバー犯罪の広いジャンルで作業を分業するのではなく、ひとつの閉じた狭いジャンルの中で、同じ人々が最初から最後まで作業に携わる傾向があり)、脅威に関わる人々は『専門分野』に特化している。その専門性の分布が、地下市場のレジリエンスを左右している。それは薬物販売のカルテルにも似ていて、もしも『脅威に関わる者』や『脅威に関わるフォーラム』がひとつ取り除かれれば、即座にライバルが取って代わることになる」と、その分析には記されている。

アンダーグラウンドの市場は、「最も洗練された犯罪集団や、国家に雇われている攻撃者にとっての助けとなる能力」とまったく同様の能力で、初心者やスクリプトキッズたちのニーズを満たすことができる。それは非常に恐ろしいことだ。

完全に孤立した一個人によって、サイバー攻撃が実行されることは滅多にない。あらゆるサイバー攻撃活動では、最大限の利益を得るために「複数の分野にまたがった専門性」が要求される……そして地下犯罪の世界では、あらゆる専門的なサイバー攻撃に価格がついている。

アンダーグラウンドにおけるサイバー犯罪の違法な製品やサービスの提供に関して、Recorded Futureの研究者たちが特に大きな価格変動を観察することはなかった。

「我々の経験に基づいて考えるなら、『多くのサービスやデータのタイプにおいて、あまり大きな価格変動は見られなかった』と言えるだろう」とBarysevichは付け加えている。

レポートはここで読むことができる
 
翻訳:編集部
原文:Experts explain the Return on Investments in the cybercriminal underground
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

 
・電子メールのハッキング100ドル
・ソーシャルメディアのアカウント 100ドル
・スパム送信 100万通 200ドルから

などなど、Recorded Futureが公開したサイバー犯罪の値段と利益のレポートは読んでいて興味深い。注文する値段だけなら、ダークウェブの「ハッキング請負いサービス」のページを見に行くと、ファストフードのメニューのように「明朗会計」表示となっている。今回の記事に書かれているように、犯罪者がかけるコストにまで言及しているのは参考になる。サイバー犯罪者初心者であっても「お金」を出せば、即座に高度な攻撃代行サービスを利用できてしまうことは、非常に恐ろしいことである。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…