組織化するオンライン犯罪集団との闘い

2009年11月24日(火)
斉藤 亘

組織化/分業化するオンライン詐欺の最新事例

■世界最大のオンライン犯罪集団「Rock Phish」

 組織化/分業化のテクニックを積極的に取り入れた新世代のオンライン犯罪組織の代表格が、Rock Phish団である。同組織は2004年から世界の金融機関を狙ってフィッシング攻撃をしかけてきた。2007年以降、Rock Phish団による攻撃は世界全体のフィッシング攻撃の約半数を占め、銀行口座からの数千万ドルに及ぶ盗難被害にかかわっていると見られている。

 Rock Phish団の特徴は、先進性と合理性にある。2008年半ば、Rock Phish団はそれまでの古く単純なネットワークを、高度に先進的なfast-flux型のボットネットに置き換えた。さらに、もう1つ新たなボットネットも短期間で構築している。また、彼らは標的を絞った合理的な攻撃を旨としており、限られた種類のブランドをかたったフィッシング攻撃をしつこく繰り返したり、預金額の多い法人の口座を攻撃する傾向が強い。

■サービスとして提供されるオンライン詐欺「Fraud-as-a Service」(FaaS)

 急速に組織化と分業化が進んだオンライン詐欺業界では、“Fraud as a service”(サービスとしての詐欺)というコンセプトも急速に浸透した。すでに、アンダー・グラウンド世界の詐欺師たちの間では、さまざまな“サービス指向”の詐欺ツール・キットが販売されており、文字通りのサービスとしても提供されている。

■時間貸しのボットネット

 図2に示すような、トロイの木馬を使ったオンライン詐欺攻撃のインフラとして、ボットネットを時間で借りられる時代になっている。こうしたボットネットを使うことで、攻撃者は自分の望むトロイの木馬を世の中に広め、それに感染した標的に対して自身が希望する攻撃をしかけることができる。盗み出した情報はドロップと呼ばれるサーバーにアクセスすることで手に入る。

 ボットネットには、普通にホスティング・サービスを利用した場合と比べて、以下のようなメリットがある。

・捜査当局が個々のボットをつきとめても、犯罪者につながる証拠がないので身元がばれにくい
・サイトが閉鎖されても、ほかのボットに乗り換えることで、攻撃を短期間のうちに再開しやすい

リシッピング詐欺によるクレジットカード情報の現金化サービス

 すでに説明したリシッピング詐欺も、サービスとして提供されている。リシッピング詐欺サービスの確立によって、詐取したクレジット・カード情報の現金化がより容易となったことから、結果としてクレジット・カード情報を狙ったフィッシング攻撃が増えている。

■クレジット・カード情報の自動販売サイト

 クレジット・カード情報を販売するサイトもある。その機能や外観は一般のオンライン・ストアと変わりない。従来のアンダー・グラウンド世界の販売所での取引と異なり、24時間年中無休なうえ、買い手が売り手に個人的にコンタクトせずとも、取引は完了する。2008年には、20万件を超える漏えいクレジット・カード情報を保有/販売したサイトが摘発されている。

■Webインジェクション・キットのオンライン・ショップ

 Webサーバーへの攻撃ツールを販売するサイトもある。ここでは、トロイの木馬攻撃と組み合わせられる不正HTMLインジェクション・キットが10USドルから30USドル程度で購入できる。HTMLインジェクション・コードを購入し、決められた手順に組み込むだけで、知識がなくともトロイの木馬攻撃をしかけられるようになっている。

 このほかにも、トロイの木馬感染サービスやフィッシング・キットのオンライン・ショップなども確認されている。次ページでは、これまで紹介したような組織化/分業化したオンライン詐欺に対抗するための手段を紹介する。

RSAセキュリティ株式会社 コンサルティング本部 システムエンジニア
オンラインセキュリティ製品の導入・運用支援を行っている。最近の仕事は金融機関Webサイトへのリスクベース認証の導入コンサルティング。以前はPKIベースの電子認証システム製品の開発を行っていた。お気に入りの休日の過ごし方は自家製の燻製とワインでホームパーティーを開くこと。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています