中国のサイバー犯罪者が利益率の高いハッキング ビジネスを開発

あるレポートによると、中国のサイバー闇市場の利益は、すでに151億ドル(1,000億中国元)を突破し、個人情報漏えい、詐欺行為などの被害額は1,380億(915億元)を上回っています。アンダーグラウンドのハッカーが国際事業を拡大し、標的にされる外国企業の数が増えれば、この市場はさらに急速に成長するでしょう。闇市場では、ボットネット、コントロール サーバーのインフラ、リモート アクセス ツール、マルウェアの作成、難読化サービス、ソースコード記述サービス、標的型脆弱性攻撃ツールキットなどの高度なハッキング ツールが売られています。

スパムやフラッド攻撃、DoS攻撃またはDDoS攻撃用スクリプト、ルーター感染、ハイジャックしたアカウントなど、幅広く普及している不正ツールやハッキング サービスも、中国の闇市場で手に入れることができます。犯罪者集団は適切に組織化され、QQネットワークからマルウェアやハッキング サービスを売買できる闇取引プロセスも確立されています。(テンセントQQは、中国で最も普及しているオンライン通信およびインターネット サービス ポータルの1つです。2016年の時点で、月間アクティブ ユーザー数は8億7千万人を超えています。QQでは、ユーザー同士の通信や、QQフォーラム、共有スペース、QQグループ、プライベート チャットルームからのコメントの投稿が可能です。)

また、犯罪者集団は、新メンバーの育成を通じて師弟関係を築き、犯罪事業を拡大させています。インターネットで売られているハッキング ツールを使い、知的財産の窃盗や、ソーシャル エンジニアリング攻撃をしかけること可能であるため、このような傾向によって、中国だけでなく世界中の企業が数百億ドル規模の被害を受けることになります。

1.事業構造

中国のサイバー闇市場は、中国経済のデジタル化に伴い巧妙化が進み、サービス中心型へと変化しています。サイバー犯罪者集団は適切に組織化され、個々の業務が明確に分けられています。アメリカやロシアとは異なり、中国のサイバー犯罪者はディープ ウェブを利用しません。マカフィーの調査から、急成長するQQネットワークを利用した犯罪組織の数は増加していることが伺えます。通常、このように組織化された犯罪者集団には、明確なサイバー犯罪業務メカニズムが存在します。一般的に、マルウェア開発者は、開発した製品をインターネットで販売することで利益を獲得します。開発者自身が犯罪行為に手を染めることはありません。こうしたコードには「バックドア」が設けられていることが多く、開発者は継続的にソフトウェアにアクセスできます。

サイバー犯罪集団のリーダーは、中国サイバー犯罪の闇ネットワークではクルマエビ(大虾 [ダイジャ])または自動車マスター(车主 [チェズ])としても知られるQQハッキング グループ マスター(群主 [クンジュ])です。QQハッキング グループ マスターが、マルウェア作成者や卸売業者からマルウェア プログラムを購入します。以下の図に描かれているように、QQハッキング グループ マスターが、見習いとしてグループ メンバーやフォロワーを募り、個人特定可能な情報や銀行口座その他の情報を盗むための不正ウェブサイトの立ち上げ方などのハッキング技術を指導します。大抵の場合、QQハッキング グループ マスターは、見習いから「トレーニング料」を徴収します。そして、プロのハッカーとなった見習いたちは、マスターのために働きます。見習いは、トレーニング プログラムを修了する前に、複数の犯罪「ミッション」に参加しなければなりません。こうしたハッカー集団は、通常、プライベート集団です。つまり、グループ マスターは、QQネットワークで加入リクエストを受諾または拒否することができます。

2.師弟関係

ハッキング ビジネスで高い利益率を誇ることから、闇市場でブラック ハット トレーニングの人気が高まっています。一部のハッカー集団は、こうしたトレーニング プログラムを利用して、新メンバーを募っています。トレーニングを終えると、一部のメンバーには見習い、つまり「研修生」としての機会が与えられ、こうしたメンバーが、後に、標的型攻撃、ウェブサイト ハッキング、データベースの不正抽出などの行為を担当するフルタイムのハッカーになります。(先ほどの図をご覧ください。)そして、銀行口座のパスワード、クレジットカード情報、プライベートの電話番号、個人動画、Qコインを含む仮想通貨の窃盗などのサイバー犯罪業務に携わることで、さらに経験を積みます。以下のスクリーンショットは、闇ハッカーから提供されるブラックハット ハッカー トレーニング資料の一例です。

3.製品

近年、中国のサイバー犯罪ビジネスは組織化や制度化が進み、手軽に利用できるようになりました。数多くのQQハッキング グループがハッキング サービスを提供しています。実世界と同様、サイバー犯罪者やハッカーも、インターネットで注文を受け付けます。見込客は、インターネット上でサービスを依頼し(攻撃の種類、標的とするIPアドレス、利用するツールなど)、決済も行います。たとえば、一部のQQ集団は、ウェブサイト崩壊サービスを提供しています。作業の難易度や標的とするシステムのセキュリティ レベルによって、価格は最大数万元に上ります。また、ブラックハット ハッカーを雇い、企業や政府機関を攻撃して利益を得ているQQ集団もいます。主に、以下のサービスを提供しています。

3-1 ハッキング サービスの取引手順

  • DDoSサービス
  • ブラックハット トレーニング
  • マルウェアの販売
  • APT攻撃サービス
  • エクスプロイト キットの販売
  • ソースコード作成サービス
  • トラフィックの販売
  • フィッシング ウェブサイトの販売
  • データベース ハッキング サービス

マルウェア、攻撃ツール、エクスプロイト キットなどのソフトウェアを購入する場合は、全額を支払わなければなりません。

3-2 マルウェア購入手順

  • 価格交渉
  • 対価の全額支払い
  • 製品またはエクスプロイト キットの受領

4.結論

中国のサイバー闇市場は、主に一般の中国人や企業を対象にしていますが、海外のウェブサイトや企業を狙うハッキング サービスを提供する犯罪者集団の数は増えています。こうしたアンダーグラウンドの犯罪者集団は、組織化された指揮系統や師弟関係を築いて事業活動を拡大させ、密かに少しずつ成長してきました。QQネットワークから、さまざまな不正ツールやハッキング サービスを提供し、優れた闇の取引プロセスを確立させています。

マカフィーの調査内容や同様の話題については、Twitterで@McAfee_JPをフォローしてください。

※本ページの内容は、2017年12月13日更新のMcAfee Blogの内容です。

原文:Chinese Cybercriminals Develop Lucrative Hacking Services

著者:Anne An 

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。