FaaS（サービスとしての詐欺）の新規地下ショップが開店、2大ヒット商品

「Monthly AFCC NEWS」のトピックを解説した、EMCジャパン株式会社RSA事業本部の水村明博氏

　EMCジャパン株式会社のRSA事業本部は23日、フィッシング詐欺やオンライン犯罪の最新動向をまとめた月次レポート「Monthly AFCC NEWS」Vol.55を発表した。世界規模でオンライン犯罪対策業務を展開している「RSA Anti-Fraud Command Center（AFCC）」の調査に基づくレポートで、新たに見つかった地下ECショップ「The Black Bay」について報告している。

　The Black Bayは数週間前に開店し、オンライン犯罪者向けに詐欺の必需品となるツールを提供している。その2大ヒット商品が「PHPシェル」と「ウェブパネル」だ。RSAによれば、こうしたツールは従来からあったが、ECスタイルで販売する例は初めて。

　PHPシェルは、ローカル／リモートのサーバー上のファイルを操作するための、PHP言語で記述されたウェブベースのソフトウェア。ファイルを編集したり、アップロード／ダウンロードするための使いやすいユーザーインターフェイスを備える。The Black Bayでは、脆弱性のあるサーバーにあらかじめPHPシェルを埋め込み、そのアクセス権を販売している。価格は、米国のサイト上にあるPHPシェル（米国向け）が2.50ドル、米国以外が4.50ドル。オンライン犯罪者はこれを購入し、そのサーバーでフィッシングサイトを開設したり、マルウェアを配布するのに悪用するわけだ。

　ウェブパネルとは、「ウェブホスティングコントロールパネルシステム」に対する詐欺者における隠語だという。複数のウェブサイトやFTPアカウント、データベースなどのリソースを集中管理するためのコンソールを提供し、PHPシェルが埋め込まれた複数のサーバーをスケーラブルに管理できるとしている。価格は、ウェブパネルへのアクセスごとに3ドル。

　The Black Bayではこのほかにも、PHPシェルとウェブパネルを効果的に使うための商品／サービスを提供しており、HTTPトンネリングされたSSHログイン（8ドル）、ルート権限（サーバースペックにより15～30ドル）、トロイの木馬に感染したボットに対するRDPアクセス権（20ドル）、カスタムPHPコーディング（個別見積もり）、トロイの木馬の亜種作成ツールといったものがラインナップされているという。

　顧客であるオンライン犯罪者に対する「巧妙な安心感の演出」と「きめ細かい配慮」も特徴。すべての商品に対して、それがすでに閉鎖されたりパスワードを変更されているものではないこと、およびオンラインであることをリアルタイムで確認できる「ライブ保証」を付けているほか、リアルタイムチャットによるQ&Aサービス「ライブサポート」も提供していた。さらには、同サイトを閲覧するにはFirefoxを使ったほうがパフォーマンスがいいといったアドバイスも行っていたという。

　RSAでは、The Black Bayのような「FaaS（Fraud as a Service：サービスとしての詐欺）」の“充実ぶり”の背景には、優秀なITエキスパートの表社会から裏稼業への転身が増加していることがあるとみている。彼らは「他の専門家とチームを組み、サービスを提供するためのECインターフェイスを準備し、広告を打ち、優れた顧客サービスを提供しようと、まずたいていは考える」。すなわち、表社会で培ったやスキルやビジネスノウハウ、経験を裏稼業に持ち込んでいるわけだ。「この手の店の開店によって、地下におけるFaaSトレンドは今年も続くという話がまた繰り返されることになるだろう」。