密談の場はチャットに――闇市場での取引形態とはSymantecのアンダーグラウンド報告書(1/2 ページ)

アンダーグラウンド市場での個人情報や攻撃ツールの取引には、当局の摘発を逃れるためにチャットが活用されているとSymantecは指摘する。

» 2008年12月03日 14時31分 公開
[國谷武史,ITmedia]

 警察当局の目を逃れるために、取引はIRCが利用されつつある――シマンテックは12月3日、米国で11月24日に発表したアンダーグラウンド経済の調査報告書に関する記者説明会を開催した。取引にはチャットやオンライン通貨サービスなどが利用されているという。

 調査では、2007年7月〜2008年に6月にアンダーグラウンド市場で宣伝された個人情報や攻撃ツール、違法コピーされたソフトウェアなどの商品データを集計、分析した。商品の価値総額は2億7600万ドルで、クレジットカード情報や銀行口座情報、ネットワーク経由で脆弱性を発見するツール、ゲームの違法コピーなどが多数売買されていた。

 アンダーグラウンド市場に参加する人物は、個人情報を盗み出した犯罪者や攻撃ツールの開発者、攻撃ツールや個人情報の悪用を考える者など。個人や少人数のグループから国際的な専門組織までさまざまな形態が存在する。市場ではこうした人物や組織の需要と供給のバランスが保たれているという。

 従来アンダーグラウンド市場でのやり取りは主にWebフォーラムが利用され、参加者の技量などによってさまざまなカテゴリーが存在した。参加するには事前審査が必要な場合がほとんどであり、著名な活動家も数多くいる。フォーラム内では売買したい商品の概要や価格の告知、攻撃手法の解説、資金洗浄といった行為が行われ、参加者はこれらの情報を利用できる。

おとり捜査で開設された偽フォーラムサイト

 しかし、Webフォーラムでの活動は警察当局などに発見されやすく、掲示された情報が蓄積されるために犯罪捜査の証拠にもなった。警察当局がおとり捜査のために偽のWebフォーラムを開設して、大規模な摘発が行われたこともある。このため、アンダーグラウンド市場の参加者は、摘発を逃れるためにIRC(Internet Relay Chat)ネットワークへ移行しつつあるという。

短期間で撤収、多数が米国に

 本来IRCはテキストメッセージなどのやり取りを楽しむために提供されるが、アンダーグラウンド市場でのやり取りではIRCサーバの利用期間が平均で10日間であり、36%は7日以内で閉鎖された。Symantecが発見した最大規模のネットワークには2万8000件のチャンネルと9万人のユーザーがいた。調査を担当したセキュリティレスポンスのヴィンセント・ウィーファー氏は、「規模が拡大すると摘発を逃れるために、すぐに自ら閉鎖してしまうようだ」と分析する。

 アンダーグラウンド市場でのやり取りに利用されるIRCサーバの設置地域は、北米が45%で最も多く、欧州・中近東が38%、アジア・太平洋が12%、南米が5%だった。アジア・太平洋地域ではオーストラリアや韓国の割合が高いという。また、欧州・中近東地域ではルーマニアが13%を占めて、経済規模の大きな英国やドイツなど上回った。「欧州東部では米国などと連携して活動するサイバー犯罪者の専門集団がいると推測される」(ウィーファー氏)

 同氏によれば、例えば米国で個人情報を不正入手した人物が偽造カードの作成を欧州の組織に依頼するといった国際的な連携が行われているという。

 WebフォーラムやIRCで取引が成立すると、当事者間では決済やデータが交換される。決済では、オンライン通貨口座(オンライン取引専用の通貨サービス)を利用するケースが全体の63%を占め、データ自体をやり取りする「物々交換」方式も24%あった。一方、電子決済サービスは決済情報などが痕跡として残り、警察当局に把握される恐れがあるため、ほとんど利用されていなかった。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ