Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか

中国・マルウェア闇市場の流通モデルと取引相場

 6月25日から28日までニューハンプシャー州のダートマス大で行われた「WEIS 2008」の話題を紹介します。

 WEIS 2008は「Workshop on the Economics of Information Security」の名が示すように情報セキュリティを経済学の視点で考えるワークショップで、今回で7回目の開催になります。

 日本からの参加者はまだまだ少ないようですが、情報セキュリティが単なる技術の問題だけでは済まなくなってきている以上、このようなテクノロジーではない視点での研究は興味深いです。

 今回は、27日の午前に行われた「Combating Cybercrime」のセッションの中から、北京大とマンハイム大の共同研究による「Studying Malicious Websites and the Underground Economy on the Chinese Web」を紹介します(今回のワークショップの中では比較的技術寄りの内容を含んでいます)。この論文は、本連載の第16回で紹介した論文を一部改訂したものです。

 この研究では、中国国内のWebサイトについて調査した結果をもとに、中国国内のアンダーグラウンドの闇市場の概観を紹介するとともに、その市場をモデル化し、実際に取り引きされる金額などを紹介しています。

 なお、この研究で示される市場のモデルは、中国に実際に存在する闇市場をベースにしてはいますが、特に中国固有のものではなく、ある程度一般性があるであろうとされています。

 また、この研究で示されたモデルは、中国の闇市場で一般的となっているオンラインゲームなどのユーザーに対する「バーチャルなもの(ゲームアイテムなど)」の不正売買に関するものです。

1)Virus Writers

 文字通り、ウイルスなどのマルウェア、特に個人情報を盗むトロイの木馬を作る。自らのスキルを誇示する目的で無償のお試し版をリリースすることもある。「顧客」を見つけるためにWeb掲示板(BBS)またはインスタントメッセンジャー(IM)を使うのが中国の特徴。世界的にはIRC(Internet Relay Chat)を使うケースが多い。

 作成したトロイの木馬(および、それをすぐに被害者に感染させることができるようにするサービス)は数十元から数千元(1元=約15円)、さらに高度なサービスは数万元で取り引きされている。

2)Website Masters/Crackers

 偽サイトを構築・運用する「Website Masters」と、有名な正規サイトを攻略する「Website Crackers」。どちらも「被害者」をおびき寄せ、「Envelopes Stealers」(次項参照)が用意したサーバー(トロイの木馬設置済み)にトラフィックをリダイレクトする。リダイレクトするトラフィックのアクセス元IPアドレス1万個あたり約40元から60元でEnvelopes Stealersで取り引きされている。

3)Envelopes Stealers

 「Envelopes」とは、アカウントとパスワードなど認証に必要な情報のこと。技術能力はさほど高くない。Virus Writersから購入したトロイの木馬を感染させる機能(トロイの木馬を設置したサーバーなど)を用意し、Website Masters/Crackersからトラフィックをリダイレクトされた被害者のPCに、そのトロイの木馬を感染させる。そのトロイの木馬が収集したEnvelopesを「Virtual Asset Stealers」(次項参照)に数角(1角=0.1元)から数十元で売る。

 他にも、攻略したマシンへのアクセス権限をマシン1台あたり0.1元から10元で売っている。

4)Virtual Asset Stealers

 技術的能力は不要。その代わり、アンダーグラウンドでどのオンラインゲームのどのようなアイテムが人気があるかといった「儲かるもの」を見いだす能力が必要。Envelopes Stealersから購入した個人情報を使って他人になりすまして人気の「バーチャルなもの」を購入し、Virtual Asset Sellersに売る。金額は「もの」によるが、当然のことながらいずれも正規の金額より安い金額で取り引きされる。

5)Virtual Asset Sellers

 Virtual Asset Stealersを兼ねる場合もある。Virtual Asset Stealersから正規の相場金額よりかなり低額で購入した「バーチャルなもの」を、ほぼ正規の金額で「Players」(次項参照)に売る。

6)Players

 オンラインゲームのアイテムなどにいくらでも金をかけるような者たち。主に10代の男性で親の金を浪費している。

 これら6者の関係を示したのが図1。また、トロイの木馬に感染し、認証情報が盗まれるまでの流れを示したのが図2です。

図1:闇市場のモデル(「Studying Malicious Websites and the Underground Economy on the Chinese Web」より)

図2:トロイの木馬に感染してから、認証情報が盗まれるまでの流れ(「Studying Malicious Websites and the Underground Economy on the Chinese Web」より)

 以上のように、モデルで示されている「犯罪」の手順そのものは特に目新しいというわけではありませんが、具体的な金額まで提示されている点はとても興味深いです。

URL
 WEIS 2008
 http://weis2008.econinfosec.org/
 Studying Malicious Websites and the Underground Economy on the Chinese Web
 http://weis2008.econinfosec.org/papers/Holz.pdf

マルウェア配布サイト、放置すると罰金~韓国で法改正の動き

 Web経由のマルウェア感染が増加しており、特に改ざんによってマルウェアが仕込まれてしまった「正規サイト」を経由した感染が深刻な問題になっています。米Websenseが公表した2008年上半期のセキュリティ動向によると、「悪質サイト」の75%が正規サイトだったそうです。

 セキュリティ関連企業や組織は、そのようなマルウェア配布に使われているサイトを発見すると、そのサイト管理者に連絡して、マルウェア配布を止めるように依頼しており、多くの場合は成果を上げています。しかし、中にはシステム管理者が不在などのさまざまな理由で、なかなか対応してくれない場合もあるようです。

 このような中、韓国では「マルウェア配布サイト」であることを指摘されたにもかかわらず、対応せずに放置した場合1000万ウォン(約100万円)以下の罰金が科せられるという「悪性コード削除要請権」制度が導入される可能性が出てきました。

 現在、改正案策定中の情報通信網法に盛り込まれるというもので、早ければ2009年にも施行される見込みだそうです。

 この改正案には、侵入などのインシデントが発生した際に迅速な初動対応が必要な場合に、政府が関連システムを点検することができる「システムアクセス要請権」制度も盛り込まれることになっています。

 「マルウェア配布サイト」に使われているサイトというのは、サイト上に何らかの脆弱性があり、そのために侵入・改ざんを受けたと考えられます。単にマルウェアを除去し、改ざんされたコンテンツを元に戻すだけでは、すぐにまた「マルウェア配布サイト」にされてしまう可能性があります。根本的な解決にはシステム上の脆弱性を修正する必要があり、その意味でも政府によるシステムの点検が可能になる「システムアクセス要請権」制度は有効と言えます。

 しかし「マルウェア配布サイト」にされたサイトが企業の場合、企業としては、機密情報保護の観点から政府による企業システムの点検に抵抗を感じるのはもっともなことです。事実、「システムアクセス要請権」制度に基づく要請は、特別な理由がない限り拒むことはできないとされていますが、拒んだ場合の処罰規定がないため、実質的には強制力がないのです。

 そのため今回の法改正によって、確かに「マルウェア配布サイト」は速やかに配布を停止するようになると思われますが、結局は「見つけてはつぶす、見つけてはつぶす」を繰り返す「もぐら叩き」にしかならないのではないかと指摘されているのです。

 そこで韓国の専門家らは、企業側がサイト上の根本的な脆弱性を修正するように政府が強制するのではなく、誘導するような制度を導入すべきと主張しています。具体的には、何度も侵入されて「マルウェア配布サイト」にされてしまっているような脆弱で危険なサイトを一覧にして公開する、つまり「さらし者」にすればよいというものです。

 「悪性コード削除要請権」制度自体も韓国らしい「イケイケ」感がありますが、それ以上に「さらし者」にしてしまえという意見が大真面目に取り扱われているあたりにも韓国らしさを強く感じます。

URL
 Websenseのニュースリリース
 http://investor.websense.com/releasedetail.cfm?ReleaseID=324871
 マネートゥデイ(2008年7月23日付記事)
 「Webウイルス削除要請違反時『過料』」
 http://news.moneytoday.co.kr/view/mtview.php?no=2008072314205568590

(2008/08/06)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.