Uncategorized

Dell SecureWorks、アンダーグラウンドのハッカー市場動向調査の結果を発表

By   |  

2015年3月30日

デル株式会社

 

Dell SecureWorks、アンダーグラウンドのハッカー市場動向調査の結果を発表

~安価な不正商品とサービスの氾濫により、

専門知識がなくとも様々な犯罪が可能な実態が明らかに~

Dell SecureWorksは、2014年に実施した「アンダーグラウンドのハッカー市場動向調査レポート」の日本語版を発表しました。本調査では、Dell SecureWorksのCounter Threat Unit(CTU)が、ハッカー市場で流通している不正に取得されたクレジットカードや銀行口座情報、Fullz(なりすましや詐欺を行うのに利用できる個人情報一式)、ハッキングサービスなどの価格動向を基に市場動向を取りまとめています。2013年にも「The Underground Hacking Economy is Alive and Well(アンダーグラウンドのハッキング市場は健在)」と題した同様の調査を行っており、2014年との比較も掲載しています。

アンダーグラウンドのハッカー市場が急速に拡大

2013年のハッカー市場と比べてもっとも大きな違いは、新しい身分証明書キット、パスポート、公共料金の請求書、社会保障カード、運転免許証など、詐欺に利用される偽造文書の流通により市場が急速に拡大する傾向にあることです。この種の文書を偽造するには、実際にオフラインで詐欺を働く必要があります。これには、複製したクレジットカードやデビットカードを使って小売店で高級な商品を購入することをはじめ、銀行ローンを申請したり、小切手詐欺を行ったり、政府関連の詐欺を試みたりすることが含まれます。

2014年のアンダーグラウンド市場で特に目立ったその他の製品は次のようなものがあります。

  •  ハッキングのチュートリアル: ハッカーは自らが犯罪行為を行うことで収入を得ているだけでなく、そのノウハウを商品として販売し、少額の追加収入獲得にも手を広げるようになってきています。
  • プレミアムクレジットカードを販売するハッカーの数: 2014年はサイバー侵害が多く、数百万枚のクレジットカードおよびデビットカードの情報漏洩が報告されています。そのため、闇の市場にプレミアムクレジットカードが大量に出回る可能性が高いことが懸念されます。
  •  闇市場でも顧客満足度向上が成功のカギ: 合法で健全な表の市場と同様に、製品やサービスを販売する様々なベンダーが集まる闇市場においても、顧客間のベンダーに対する評判がビジネスを成功させるために重要な指標になっています。販売している盗難データに対して、「迅速なカスタマサービス」と「100 %保証」を提供することで差別化を図るベンダーも登場しています。闇市場で暗躍するベンダーは、彼らの顧客がオンラインまたはオフラインでの詐欺を成功させられるように、販売するツールやサービスの継続的な強化に取り組んでいます。合法な市場においては”企業努力”と見なされるこのような行為も、犯罪を増加させうる脅威です。

 

販売されている偽造の資格情報:

 

身分証明書、パスポート、運転免許証、社会保障カード

アンダーグラウンドのハッカー市場において最も注目すべき変化の1つは、販売されている偽造の資格情報の数です。これには、新しい身分証明書のパッケージ、パスポート、運転免許証、社会保障カードなどが含まれます。 これらの証明文書は、銀行ローンの申請や小切手およびクレジットカード詐欺、政府援助詐欺、医療詐欺などのなりすまし詐欺を実行する上で必要なツールです。

 

  • 販売されている新しい身分証明書: 新しい身分証明書を求める場合、実際に使用されている社会保障カードのスキャンと名前および住所を250ドルで購入することができます。さらに100ドル支払えば、追加で身分確認のための公共料金請求書が付きます。この実例は、ハッカーがあらゆる種類のデータを収益化していることを示しており、銀行、小売店、医療業界だけでなく、公共施設業界も個人を特定できる情報(PII)のターゲットであることを物語っています。これらの資格情報および対応する運転免許証があれば、詐欺で政府援助プログラムに応募したり、その他の犯罪行為(銀行およびクレジットカード詐欺、医療詐欺)を行ったりすることができます。
  • 偽造パスポート: 米国以外の偽造パスポートは 200~500ドルで取引されています。買い手は住所、本籍、年齢などの詳細情報が記載されたパスポートのスキャンを入手できます。 ほとんどのビジネスでは、相手の身分証明としてパスポートのスキャンが通用するだけでなく、クレジットカード詐欺、小切手詐欺、政府援助詐欺など多様な詐欺に利用できます。
    • 注 米国のパスポートは、アンダーグラウンドのハッカー市場で広く利用されませんでした。   

  • 偽造運転免許証: 米国ベースの運転免許証は1枚当たり100~150ドル支払えば、任意の名前、住所、州などの情報でカスタマイズしながら偽造することができます。ハッカーは、免許証に入っているホログラムも偽造しています。大量に購入する場合は1枚あたりの価格は下がります。 偽造運転免許証は、小切手詐欺やクレジットカード詐欺など多くの種類の詐欺に使われています。
    • ž 2014年9月、米国の法執行機関は、偽造運転免許証を作成および販売していた3人の詐欺犯を逮捕しました。これらは、不正現金引出を目的として使用されたと米連邦捜査局(FBI)から報告されています。ハッキングやATMスキミングによって入手した盗難クレジットカード情報などが偽造クレジットカードにエンコードされ、被害者の口座から現金を盗むために使用されました。FBIによれば、2013年12月30日から2014年6月23日までに、共謀者が偽造運転免許証を1,514枚販売し、232,660ドルを得ていました。  
  • 偽造社会保障カード: 被害者の名前、住所、および社会保障番号を既に購入していて、対応する社会保障カードも入手したい場合、カードは平均して250~400ドルで買い求めることが可能です。偽造パスポートと同様に、詐欺犯は社会保障カードのスキャンを提供します。 偽造カードを使用すると、不正に税の還付申告を受けたり、さまざまな金融口座を開いたりすることができます。 

 

販売されているプレミアムクレジットカード:

 

プラチナ/ゴールド/プレステージ/ブラックなど、カード種類と国を指定して購入可能

非常に多くのハッカー市場で、各国のプレミアムクレジットカード(プラチナ、ゴールド、ブラック、プレステージなど)や、スタンダードのクレジットカードの販売(Track IおよびTrack IIデータを含む)の広告が出されています。 特に、米国、カナダ、英国、欧州、ブラジル、アルゼンチン、およびグルジアから盗まれたクレジットカードが多く出品されています。

  • あるサイトでは、Track IおよびIIデータを含むプレミアムおよびゴールドのマスターカードを35ドル/枚で、Track IおよびIIデータを含む米国以外のスタンダードのマスターカードを17ドル/枚、プレミアムVisaカードは23ドルで販売されていました。
  • これと同じアンダーグラウンドなウェブサイトで、14,000,000枚の米国のクレジットカード、294,000枚のブラジルのクレジットカード、342,179枚の世界のクレジットカード、212,100枚のカナダのクレジットカード、75,992枚の英国のクレジットカード、26,873枚のEUのクレジットカードの販売が確認されています。 

大量販売されるプレミアムクレジットカードの価格例(Track IおよびIIデータ含まず):

  • ž   10枚              13ドル/枚
  • ž   50枚             12ドル/枚
  • ž   100枚            11.50ドル/枚
  • ž   500枚           11ドル/枚
  • ž   1000枚          10ドル/枚(人気のあるオンライン支払いサイトに関する無料チュートリアルを含む)
  • ž   2000枚         9ドル/枚(人気のあるオンライン支払いサイトに関する無料チュートリアルを含む)

盗難クレジットカードに「100 %の満足保証」、不満があればカード交換

アンダーグラウンドのハッカー市場における別の興味深い傾向は、ベンダーが顧客満足度向上を図るために、優れたカスタマサービスの提供に力を入れ出しており、中には高い顧客満足度の保証を掲げているベンダーも見受けられました。

図1では、ハッカーは販売中の盗難プレミアムクレジットカードについて「有効なカードの割合100 %」を約束しています。例えば、100枚のクレジットカードを購入した場合、それらのカードはすべて利用可能な状態です。 ハッカーは「有効でないカードはすべて交換します」と明言しています。 さらに、同じベンダーは「クレジットカード保証」も提供しています。クレジットカードが200ドルの支払いに通らない場合は、販売者がTry2Check(アンダーグラウンドで人気のあるクレジットカード検証アプリケーション)を使用してチェックし、利用不可のカードであれば交換されます。また、販売しているクレジットカードはすべてプレミアムカードであり、プラチナカード(クラシック/スタンダード)より低いカードの場合は、そのカードを交換することも保証しています。

 

図1: アンダーグラウンドの販売者の満足度保証の例

販売されているマルウェア

 

販売されているリモートアクセス型トロイの木馬(RAT: Remote Administration Tool

リモートアクセス型トロイの木馬(RAT)は、ハッカーに標的とするコンピュータの管理制御権を与えるバックドアを含むマルウェアプログラムです。2014年はRATが2013年よりかなり安価になっていることを発見しました。現在、RATは20~50ドルぐらいで、通常は次のものが含まれています。

  • ž   darkcomet
  • ž   blackshades
  • ž   cybergate
  • ž   predator pain
  • ž   Dark DDoser

2013年のRATの価格範囲は50~250ドルでした。価格が下がった背景には、ソースコードが漏れてから、アンダーグラウンドでは多くのRATが無料で入手できるようになったからであると推測されます。

ハッカーは、簡単に購入できる、もしくは無料で使用でき、Crypter(マルウェアを暗号化しFUDにするか、ウイルス対策およびマルウェア対策プログラムでまったく検出できないようにするプログラム)で処理できるRATを探しています。

販売されているCrypter

人気のあるCrypterは50~150ドルほどで取引され、以下のものが含まれています。

  • ž   Aegis
  • ž   Sheikh Crypter
  • ž   xProtect

Crypterの価格は、マルウェアを暗号化してFUDできるかどうかで異なります。しかしながら、経験の長いハッカーの多くは独自のCrypterをコーディングする方法を知っているため、これらのツールを購入するハッカーはハッキングの経験が浅いか、そのようなスキル自体を持っていません。

販売されているエクスプロイトパック

エクスプロイトパックは、さまざまな悪意のあるプログラムが含まれたソフトウェアキットです。ハッキングされたウェブサイトや悪意のあるサイト上で実行されると、そのサイトにアクセスしたユーザのマシンで、ハッカーが多数のブラウザエクスプロイトを起動できるようになります。古いブラウザプラグインでこのようなサイトにアクセスした場合、何も表示されずにマルウェアがインストールされる可能性があります。本調査では、アンダーグラウンドのハッカーがよく話題にするエクスプロイトパックは、「Nuclear」と「Sweet Orange」の2つでした。

 

Nuclearエクスプロイトパックのリース料金

  • ž   50ドル/日
  • ž   400ドル/週
  • ž   800ドル/月

Sweet Orangeエクスプロイトパックのリース料金

  • ž   350ドル/週
  • ž   1,300ドル/月

 

NuclearとSweet Orangeは週あたりの価格は同程度ですが、Nuclearの800ドル/月のリース料金は、Sweet Orangeの1,300ドル/月のリース料金よりかなり安くなっています。 Sweet Orangeの方がコストはかかりますが、Nuclearより堅固なエクスプロイトキットであると考えられています。Sweet Orangeには新型エクスプロイトが含まれており、より多くの組み込み機能を実装しています。

 

販売されている感染コンピュータ

2013年に感染コンピュータ(ボット)の価格を調査した際には、特定の地域が指定されていないボットの大口購入価格だけを見つけました。これらランダムなボットはかなり安い価格で販売されていました。例えば、1,000ボット/20ドル、5,000ボット/90ドル、10,000ボット/160ドルほどで取引されていました。

しかし、2014年の調査では、特定の国にあるボットの価格設定がより高値で販売されていることを発見しました。感染コンピュータへのアクセスの購入価格は国ごとに異なります。米国にある別々の5,000ボットの価格は600~1,000ドルですが、英国ベースの5,000ボットの価格は400~500ドル、米国のボットより50~100パーセント低い価格設定になっています。

米国の感染コンピュータの価格の方が高い理由として、米国のボットには英国のユーザがアクセスできない金融サイトへのアクセス権が含まれているためであると考えられています。例えば、ハッカーがCoinbaseのビットコイン口座の盗難を目論んでいたとしても、Coinbaseは米国在住の顧客とのみビジネスをしているため、ハッカーには米国にある感染コンピュータへのアクセス権が必要となります。 さらに、英国やヨーロッパではChip and PINテクノロジが利用されていることが多いため、英国の感染ボットで見つかったクレジットカードの口座情報の方がセキュリティが高いと考えられます。

Chip and PINテクノロジはEMV(Europay、MasterCard、Visa)とも呼ばれます。これを利用する場合は、実際の購入の場面で承認のために4桁のPIN入力が必要になります。 また、チップに埋め込まれているすべてのデータと通信は暗号化技術によって保護されているため、Chip and PINカードはハッキングがしにくい仕様になっています。米国で利用されているクレジットカードの多くは、カードデータが従来の磁気ストライプにエンコードされており、比較的データの盗難が容易です。また、磁気ストライプのクレジットカードは、Chip and PINカードより偽造がずっと容易です。磁気ストライプカードにはPIN入力が不要なため、窃盗犯は偽の署名を走り書きして立ち去ることができます。

米国(ユニークインストール)

  • ž   1,000               140~190ドル
  • ž   5,000               600~1000ドル
  • ž   10,000             1100~2000ドル

英国(ユニークインストール)

  • ž   1,000               100~120ドル
  • ž   5,000               400~500ドル
  • ž   10,000             700~1100ドル

アジア(ユニークインストール)

  • ž   1,000               4~12ドル
  • ž   5,000/10,000   なし

販売されているオンライン銀行口座

 

盗難クレジットカードと同じように、オンライン銀行取引の資格情報も販売されています。 Dell SecureWorksの企業ブランド監視チームは、70,000~150,000ドルの「検証済み」残高があり、高価値と位置付けられているオンライン銀行口座のユーザ名とパスワードが、口座残高の6パーセントぐらいの価格で購入できることを発見しています。残高70,000ドルの口座の場合、購入金額は約4,200ドルです。

 

利用できるハッキングサービス: Webサイトへのハッキング、DDoS攻撃、Doxing(個人情報の収集/公開)

Webサイトへのハッキング

Webサイトへのハッキングの現在の価格が100~200ドルの範囲にあることを確認しました。2013年は100~300ドルでした。従来どおり価格はツールを販売するハッカーの評判によって変動します。評判のよいハッカーほど価格が高くなります。 

 

分散型サービス拒否(DDOS)攻撃

ウェブサイトをオフラインで攻撃することをハッカーに依頼する際の価格は、2013年の価格と同水準でした。 ただし、DDoS攻撃を1日または1週間続ける場合の価格は少し安めに設定されています。2014年の価格の例を示します。

 

 2014年のDDoS攻撃の価格

 2013年のDDoS攻撃の価格

 1時間あたり3~5ドル

 1時間あたり3~5ドル

 1日あたり60~90ドル

 1日あたり90~100ドル

 1週間あたり350~600ドル

 1週間あたり400~600ドル

Doxing(個人情報の収集/公開)

販売されているDoxingサービスは2013年と比べて減少しています。Doxingを依頼すると、ハッカーはターゲットに関するすべての情報を収集します。これには、ソーシャルメディアサイトや公開情報サイトの検索や、ソーシャルエンジニアリングを通じて被害者を操り、情報を盗むためのマルウェアに感染させることなどが含まれます。 Doxingサービスを販売しているハッカーの場合、25~100ドルの価格を設定しています。

 

 

SecureWorksからのアドバイス

 

法人向け: 財務データ、個人を特定できる情報(PII)、および知的財産をセキュリティ侵害から保護する方法

  • ž 犯罪活動から保護するために、組織にとっても個人にとっても、脅威に常に注意を払い、財務データ、PII、および知的財産の損失を防ぐ防護対策を実施することが重要です。 Dell SecureWorksは、組織と個人の両方にとって重要な一連のセキュリティ設定手順をまとめました。

ž   セキュリティへの階層型アプローチをお勧めします。次のものを実装することを検討してください。

  1. ネットワークおよびWebアプリケーションを囲むファイアウォール
  2. 侵入防止システムまたは侵入検知システム(IPS/IDS)。 これらは出入りするトラフィックからサイバー攻撃を検査し、脅威を検出またはブロックします。
  3. ホスト侵入防止システム(IPS)
  4. エンドポイントおよびネットワーク向けの高度なマルウェア対策ソリューション
  5. 脆弱性スキャン
  6. 24時間365日のログの監視、およびWebアプリケーションとネットワークのスキャン
  7. 最新の脅威に関するセキュリティインテリジェンス(リアルタイムのヒューマンインテリジェンスで最新の脅威に取り組む従業員)
  8. 暗号化されたEメール
  9. コンピュータのセキュリティ上の脅威、特にスピアフィッシングの試みを見抜く方法を従業員に教育することが重要です。 防護対策として重要なのは、送信元を知っている場合でも、Eメールのリンクまたは添付ファイルを決してクリックしないように従業員を教育することです。従業員には、Eメールのリンクまたは添付ファイルをクリックする前に送信元に確認させてください。 EメールとWeb閲覧は2つの主要感染経路です。

 

 

個人向け

以下のセキュリティ設定手順を検討してください。

  1. コンピュータユーザは、オンラインバンキングと請求書の支払い専用のコンピュータを使用してください。 そのコンピュータまたは仮想デスクトップでEメールの送受信とWebの閲覧には使わないようにします。Webエクスプロイトと悪意のあるEメールは、主要なマルウェア感染経路です。
  2. 信頼できない送信元からのEメールのリンクまたは添付ファイルクリックするのを避けます。送信元がわかる場合でも、リンクまたは添付ファイルをクリックする前に、送信元がそのEメールを送信したことを確認してください。
  3. 定期的に銀行およびクレジットカードの明細をオンラインバンキングやクレジットカードの使用状況と照合して、口座の乗っ取りの可能性を示す異常な取引がないことを確認します。
  4. ウイルス対策ソフトウェアが最新の状態で、新しいエクスプロイトから保護できることを確認します。 また、ウイルス対策ソフトウェアのベンダーが最新のトロイの木馬を検出するための署名を持っていること、およびウイルス対策ソフトウェアの最新の保護機能をインストールしていることを確認します。
  5. ウイルス対策製品の「試用版」を保護手段として使用しないでください。ウイルス対策製品の試用版は製品をテストするためには適していますが、自宅や仕事用のPCを保護するために試用版を使い続けてはいけません。 試用版では更新を受信できないため、試用版のリリース後に出てきたトロイの木馬やウイルスはそのPCに完全にアクセスできます。
  6. セキュリティ保護製品が実行されていることを確認します。ソフトウェアパッチの管理が重要です。 パッチが入手可能になったらすぐに、アプリケーションやコンピュータのオペレーティングシステムの更新をインストールことが重要です。
  7. ソフトウェア(特にダウンロードアクセラレータやスパイウェア削除ツールなど、話がうますぎるソフトウェア)のインストールに対して注意を怠らず、ユーザにダウンロード/実行/特権操作を求めるウェブサイトのポップアップには慎重に対処してください。 多くの場合、こういう無料ソフトウェアやポップアップにはマルウェアが埋め込まれています。
  8. 新しい銀行またはクレジットの口座が申請されたときや、クレジットの残高が基準を超えたときに警告が発生されるように、3 in 1のクレジット監視サービスに登録することを検討してください。

ハッカー市場で販売されている製品およびサービスの価格

ハッカー提供の資格情報およびサービス

2013年の価格

2014年の価格

Visaおよびマスターカード(米国)

4ドル

4ドル

アメリカン・エキスプレス(米国)

7ドル

6ドル

ディスカバーカード(米国)

8ドル

6ドル

Visaおよびマスターカード

(英国、オーストラリア、カナダ)

7~8ドル

8ドル

アメリカン・エキスプレス

(英国、オーストラリア、カナダ)

12~13ドル

15ドル(英国、オーストラリア)、

12ドル(カナダ)

ディスカバーカード(オーストラリア、カナダ)

12ドル

15ドル(オーストラリア)、

10ドル(カナダ)

Visaおよびマスターカード(EU、アジア)

15ドル

18~20ドル

ディスカバーカード、アメリカン・エキスプレス(EU、アジア)

18ドル

18~20ドル

Track 1および2データ付きの

クレジットカード(米国)

12ドル

12ドル

Track 1および2データ付きのクレジットカード

(英国、オーストラリア、カナダ)

19~20ドル

19~20ドル

Track 1および2データ付きのクレジットカード(EU、アジア)

28ドル

28ドル

Fullz(米国)

25ドル

30ドル

Fullz(英国、オーストラリア、カナダ、EU、アジア)

30~40ドル

35~45ドル

VBV(米国)

10ドル

12ドル

VBV(英国、オーストラリア、

カナダ、EU、アジア)

17~25ドル

28ドル

Track 1および2データ付きの

プレミアムマスターカード(全世界)

なし

35ドル

Track 1および2データ付きの

プレミアムVisaカード(全世界)

不明

23ドル

70,000150,000ドルの検証済み

残高のある高品質銀行口座

不明

口座残高の6 %

リモートアクセス型トロイの木馬(RAT

50~250ドル

20~50ドル

Crypter

不明

50~150ドル

Sweet Orangeエクスプロイトキットの

リース料金

450ドル/週、

1800ドル/月

450ドル/週、

1800ドル/月

Nuclearエクスプロイトキットの

リース料金

不明

50ドル/日、400ドル/週、

600ドル/月

偽造パスポート(米国以外)

不明

200~500ドル

新しい身分証明書、

および対応する公共料金請求書

不明

250ドル、対応する公共料金請求書は100ドルの追加

偽造社会保障カード

不明

250~400ドル

偽造運転免許証

不明

100~150ドル

ハッキングのチュートリアル

不明

各1ドル~30ドル/10項目(チュートリアルにより異なる)

Webサイトのハッキング、データの盗難

100~300ドル

100~200ドル

DDoS攻撃

1時間あたり

3~5ドル

1時間あたり

3~5ドル

1日あたり

90~100ドル

1日あたり

60~90ドル

1週間あたり、

400~600ドル

1週間あたり

350~600ドル

Doxing(個人情報の収集/公開)

25~100ドル

25~100ドル

感染コンピュータ(米国)

不明

米国(ユニークインストール)

1,000 – 140~190ドル

5,000 – 600~1000ドル

10,000 – 1100~2000ドル

感染コンピュータ(英国)

不明

英国(ユニークインストール)

1,000 – 100~120ドル

5,000 – 400~500ドル

10,000 – 700~1100ドル

感染コンピュータ(アジア)

不明

アジア(ユニークインストール)

1,000 – 4~12ドル

5,000/10,000 – なし

About the Author: Dell Technologies