ニュース

お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在

キヤノンITソリューションズ株式会社マルウェアラボシニアセキュリティリサーチャーの石川堤一氏

 フィッシングメールが昨年に比べて増加傾向にあり、新種のランサムウェアの発見が相次いでいる件について、キヤノンITソリューションズ株式会社では「Crime as a Service(CaaS)」をそれらの要因として挙げる。

 CaaSとは、サイバー犯罪に使うことを目的としたマルウェアやC&Cサーバーを提供するサービス。ランサムウェアを販売する「Ransom as a Service(RaaS)」や、アカウント情報を詐取するための偽ウェブサイト作成サービス「Phishing as a Service(PhaaS)」、DDoS攻撃を行うためのボットネットを販売する「DDoS as a Service(DaaS)」などが存在するという。これらのサイトはダークウェブやディープウェブ上に多数存在しており、頻繁に機能追加や改善が行われているそうだ。

 例えば、PhaaSでは作成可能な偽ウェブサイトの一覧が表示されており、ボタンを数クリックするだけで簡単に作成できるという。実在する企業やサービス、AppleやMicrosoft、Google、Amazonなど50社以上の偽のログインサイトをラインアップしており、同サイトはPhaaSが提供するクラウドサーバー上に設置される。

PhaaSサイトの設定画面

PhaaSサイトで作成したAmazonの偽ログインサイト

 偽ウェブサイトで入力されたアカウント情報は同サーバーに記録され、PhaaSの管理画面から閲覧できるため、この情報を使って不正ログインを行ったり、情報を販売することもあるそうだ。

 とあるPhaaSサイト内では、盗み取ったアカウント情報を売買するための機能も備えており、SNSのアカウント情報が10ドル程度で販売されていたという。PhaaS利用者は詐取したアカウント情報をビットコインなどに換金できるという。

偽のウェブサイトから収集したアカウント情報の一覧画面

 このPhaaSサイトでは、利用者の目的に応じて8つのプランをラインアップ。プランごとに利用期間や偽サイトの作成数、詐取したアカウント情報の記録数などが選べる。例えば、最小プラン(Micro)では、3ドルで3日間利用できるが、偽サイトの作成は3つ、アカウント情報の記録は10アカウントまでに制限される。一方、最大プラン(Master)では、250ドルで3カ月間、偽サイトの作成は1万、アカウント情報は無制限で記録できる。

PhaaSサイトの料金表

 キヤノンITソリューションズ株式会社マルウェアラボシニアセキュリティリサーチャーの石川堤一氏は、「従来では、マルウェアやフィッシングサイトを作成するための専門知識が必要だったが、CaaSの登場により誰でも簡単に攻撃を行える状況になった」と危惧する。

 PhaaSなどを使ったフィシングの被害を防ぐためには、1)IDやパスワードを入力する前にURLを確認する、2)フィッシング対策協議会などのサイトを定期的に閲覧し、フィッシング詐欺の手口を確認する、3)OSやソフトに最新の更新プログラムを適用すること――などを挙げる。