脆弱性情報をオークション販売――FinjanのWebセキュリティ報告書

脆弱性情報をオークションにかけて高値で売りさばく行為が増えている。情報をベンダーに提供するよりも、ブラックマーケットで販売する誘惑の方が強まっているという。

[ITmedia]

　脆弱性情報をオークションにかけて高値で売りさばいたり、悪質サイトを自作するためのツールキットが販売されるケースが増えている――。セキュリティ企業のFinjanは7月12日、Webセキュリティトレンドに関する報告書でこう指摘した。

　脆弱性オークションは、「発見したばかりの」脆弱性を競売にかけ、最高値を提示した買い手に売り渡すというもの。新しい脆弱性の値段が上がり続けているため、情報をベンダーに提供するよりも、ブラックマーケットで販売する誘惑の方が強まる傾向にあるという。

　悪質なWebサイトを自作するためのDIYツールキットは「Web Attacker Toolkit」といった製品が知られている。ロシアのサイトで発見され、値段はわずか300ドル。このツールを使うと、ユーザーのコンピュータに悪質なコードをインストールするWebサイトを作成でき、サポートやアップデートまで提供されているという。

　悪質コードの配布にスパムを利用する混合型の攻撃も新しいトレンドとして浮上していると報告書は指摘。この手口ではユーザーをだまして電子メールのリンクをクリックさせ、悪質サイトに誘導。このサイトでWeb Attack Toolkitを使ってトロイの木馬をインストールしてしまう。

　悪質コードの作者が金欲しさに自分のスキルを磨き、ますます野心的になって、大量のインターネットユーザーを標的として個人情報や財務情報を盗んだり、知的財産権を侵害するケースが増えていると、Finjanは解説している。