ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

久しぶりにダークウェブマーケットを訪問してみた

GoDai

こんにちは。デジタルペンテストサービス部のGoDaiです。 

 最近、ダークウェブマーケットを調査する必要があり検証環境からアクセスしてみました。以前ダークウェブの調査・分析を担当するサービスを担当していた時にアクセスした時に比べ様変わりしており驚きました。
 特に驚いたのがダークウェブマーケットの販売業者に関する進化です。
以前アクセスした時にも現実社会における企業のような販売様態を模したバイヤーなどがいましたが扱っているコンテンツ・サービスは非合法な品物等であったため苦笑いしたのを覚えています。


 今回アクセスしたサイトは有名な一般通販サイトにアクセスしたかと錯覚するかのような洗練されたデザインになっていました。
また販売コンテンツはジャンル毎に分類されており、コンテンツは紹介写真やサンプルなどの画像付きで販売されていました。多くは合成麻薬や偽のID証明書、マルウェア、メールアドレスなどのクレデンシャル情報やクレジットカード情報などなど商品ラインナップはあまり変わってないかと思っていたのですが、その内容が変化している事に気付きました。

   例えば"ランサムマルウェアの販売"は"ランサムマルウェアを含む攻撃プラットフォームのレンタル"(RaaS)※1などのサービスモデルが登場しており、クレジットカード情報については"クレジットカード情報が有効かどうか"に加えて"実際に利用してみた利用結果"までが情報として追加されていました。ダークウェブマーケットが拡大し販売業者が増加する事で利用者にとって使い勝手のよいようにサービスを向上させる必要があるためと推測されます。

ダークウェブマーケットもマーケットであり商業活動として非合法なコンテンツにもかかわらず情報の新鮮さや安全性をアピールするように変化しているのは皮肉な事であると思います。

 ダークウェブマーケットが現在のように多種多様なコンテンツが扱われるようになり拡大を続けている要因の一つとして仮想通貨の普及があると思われます。
 昔から犯罪収益などについてはマネーロンダリングという方法を使い安全に利用できるようにする事が必要でした。仮想通貨は匿名性が高く取引の追跡が困難であるという性質からダークウェブマーケットなどでの取引の条件として必須要件となりつつあります。

 余談となりますが現実の世界においても特殊詐欺の一部でプリペイドカードのギフトカードなどを要求してくる場合があるのもプリペイドカードは無記名の金券相当でありカードを購入した本人が利用したか又は購入者以外の第三者が利用したかについて追跡がほぼ不可能であるからと推測されます。

参考図

 しかし、そういった非合法なコンテンツの情報のやり取りにダークウェブマーケットが使われる事が多いですがダークウェブマーケットだけでなく、ディープウェブやサーフェイスウェブでもやり取りは行われる事があります。
 たとえば、2021 年 6 月に発生した有名なゲーム会社の Electronic Arts社の情報漏えい事件では、攻撃者は認証情報をGenesisMarket から購入して使用したとされています。
このGenesisMarketというサイトは認証機能を保持しておりマルウェアに感染した端末から個人情報や認証情報をスナップショットという形式で取得しbotという単位で販売しています。認証機能を保持している事からこのサイトはディープウェブに属する事になります。 このbotを購入する事で購入した人はマルウェアに感染した端末のクローンのような端末を利用する事ができます。

   金融機関の認証情報を使えば被害者のオンラインバンキングに、SNSの認証情報を使えば被害者に成りすましてアカウントにアクセスする事が可能となります。
 上記のゲーム会社の事件では購入された従業員のチャットツールの認証情報を使われ、そこから社内システムへ侵入され最終的にはゲームのソースコードなどが流出してしまいました。

非合法なマーケットで取引されるこれらの個人情報は以下のような手段等で取得されています。
・フィッシング攻撃
マルウェアを使った情報窃取(プラグインなども含む)
・機密情報を保持している企業へのサイバー攻撃  など

上記の方法で取得された個人情報はダークウェブマーケット、ディープウェブ、サーフェイスウェブなどを通じて売買され最終的には悪用される事があります。

参考例

 例としてダークウェブマーケットで入手された情報を購入した第三者が他の業者へ転売し、その業者が自身のサイトで販売するなどして情報は拡散していきます。また別の例としてはディープウェブで販売されていた個人情報を購入した第三者が誰でも閲覧可能なサーフェイスウェブに公開するなど様々なシチュエーションで情報は拡散していきます。

 とは言えこのような犯罪を助長するようなダークウェブマーケットやディープウェブについて野放しにされている訳ではなく各国の治安当局によってこれらのサイトの捜査や摘発などが行われています。

巨大オンライン闇市場「RaidForums」、欧米の合同捜査で閉鎖 - ZDNet Japan

しかしこれらのサイトは他の違法なサイトと同様に閉鎖されても別のサイトが直ぐに立ち上がりサイト運営者と治安当局のいたちごっことなっている事もまた事実です。

このようなサイトが存在する限り個人情報には価値がつき取引されていきます。そしてその販売コンテンツとして我々の個人情報は狙われ続けるという事になります。

 

 筆者も普段の生活などで以下のような

 ・野良アプリは使わない

 ・有名なアプリであっても必要とされる権限について確認する

 ・アップデートでアプリが変異する場合もあるので必要がないものは消去する

 ・最新のフィッシング攻撃の情報について収集する など

 基本的な事を実施するようにはしていますが、日々攻撃手法などは進化しており完全には守りきれないでしょう。
漏洩する情報は少なくするようにする事が自己防衛につながると思います。便利と脅威は表裏一体であり、新しい技術には常にリスクが付いてまわるもの。必要以上に恐れず快適なIT生活を送りたいと思います。

 皆様も様々な会社や組織から提供される各種情報を参考にしていただき快適なIT生活を送って頂ければと思います。

※1 Ransomware as a Service