脅威の調査

サイバー犯罪フォーラムにおける詐欺師による騙し合い

地下経済圏は謎に満ちており物珍しいだけでありません。実際に拡大しているビジネスであり、防御側の組織はこの経済圏を理解することで、防御を向上できる機会にすることができます。

** 本記事は、The scammers who scam scammers on cybercrime forums: Part 1 の翻訳です。最新の情報は英語記事をご覧ください。**

犯罪者向けのマーケットプレイスには、いたるところに詐欺師が潜んでいます。遡ること 2009 年、Microsoft は地下経済圏に不正が蔓延していると指摘し、2017 年には Digital Shadows がマーケットプレイス利用者が作成した「リッパー」(犯罪者を騙す詐欺師) のデータベースを報告しました。サイバー犯罪マーケット「Genesis」に関する最近のソフォスの記事では、経験の浅い自称サイバー犯罪者や経験の浅いセキュリティ研究者やジャーナリストなどから金銭をむしり取るために作られた、Genesis の詐欺的な模倣サイトが少なくとも 1 つあることを指摘しています。

しかし、上記の話題はあまり注目されていません。また注目される必要もありません。詐欺師が犯罪者を狙うのであれば、組織や一般市民には影響がなく、単に互いに騙し合っているだけです。

しかしソフォスではこの状況から何か有用な知見を引き出すことができないかと考え、数週間かけて 3 つの著名なサイバー犯罪フォーラムにて、詐欺師を騙す詐欺師について調べ、5 つの驚くべき事実を発見しました。

1. サイバー犯罪は巨大なビジネスであり、地下経済圏を形成している。わずか 3 つのサイバー犯罪フォーラムだけで、過去 12 ヶ月の間の詐欺による被害総額は合計 250 万ドル以上になっています。実際、フォーラムの管理者が、ユーザーが詐欺や攻撃、さらにはリッパーを報告するための専用の「仲裁場所」を設けるほど、これは長年にわたって重大な問題となっています。

2. これらの詐欺は必ずしも金銭的な動機によって引き起こされているわけではなく、下層の犯罪者だけが関与しているわけでもない。個人的な不満やライバル意識、評判を落としたい気持ち (時には高めたい気持ち) などが、詐欺の原因になることがあります。また、これらの詐欺は下層の犯罪者だけの話でもありません。ソフォスは、悪名高い攻撃者が詐欺で告発されたり、詐欺の被害に遭ったりするのを目の当たりにしています。

3. さまざまな攻撃が横行している。紹介詐欺、偽のデータ流出と偽のツール、タイポスクワッティング、フィッシング、評価詐欺 (別人を装ったネット上のアカウントを使用して評判のスコアを人為的に上昇させる)、偽の保証人、脅迫、なりすましアカウント、バックドアマルウェア等の手法が確認されています。また犯罪者が、自分たちを騙した詐欺師を騙し返すことで復讐を果たした例も見受けられました。

4. 長期的かつ大規模な詐欺の事例が発見されている。最も大きな驚きの一つは、Genesis の模倣サイトを調査したときに明らかになりました。同じ人物またはグループによって作られた 19 のサイトがマーケットプレイスを模倣しており、これらすべてのサイトがユーザーを騙して 100 ドルの「アクティベーション料金」を支払わせることを目的としていることがわかりました。これらのサイトの背後にいるのが誰なのかは不明ですが、いくつかの裏サイトで活動している麻薬業者とのつながりが見つかっています。

ここまでの話は「他人の不幸は蜜の味」と言える内容ですが、そもそも上記の内容を誰が気にするのか、という疑問が残ります。犯罪者間の騙し合いがなぜ私たちにとって重要なのでしょうか。実はここからが重要です。

5. 詐欺報告は、豊富な事例があるもののまだ十分に調査されていない。攻撃者は、犯罪フォーラムが監視されていると認識しているため、その運用には慎重になっています。しかし犯罪者自身が被害に遭った場合は、そうとも限りません。フォーラムの規則によって、詐欺に遭ったことを報告するときには、詐欺を裏付ける証拠を提出する必要があります。そのため、被害に遭った犯罪者は、私的な会話やソースコードのスクリーンショット、識別子、取引、チャットログ、さらには交渉、販売、トラブルシューティングの詳細な説明などを喜んで投稿することが多くあるのです。

このような地下経済圏は、単に物珍しいというだけではありません。フォーラムの文化、攻撃者の売買方法、攻撃者間の優越性、ライバル関係、同盟関係、攻撃者も欺瞞に対して疎いということ、そして彼らに関する具体的で個別的な情報など、さまざまな内情をそこから明らかにすることができます。

今後数週間にわたり、このトピックに関する大規模調査の結果を共有します。まず、関連があるフォーラムの概要、フォーラムの詐欺への対処方法、誰と誰が騙し合っているか、地下経済圏の規模などについて説明します。

また、この調査に関する ソフォスのBlack Hat の講演もぜひご覧ください。

未知の世界の探究

調査の手始めとして、ロシア語のサイバー犯罪フォーラムで最も古く、最も有名な Exploit と XSS の 2 つのフォーラムを調査しました。また、2022 年 4 月に開設された RaidForums の後継である BreachForums における詐欺も調査しました。

フォーラム

Exploit は比較的厳格な会員制となっており、サービスとしてのアクセス (AaaS) のリストを提供するマーケットプレイスとして人気があり、侵害されたネットワークへのアクセスを、初期アクセスブローカー (IAB) が販売する場所となっています。しかし詐欺師は、マルウェア、データ漏洩、情報収集ログ、認証情報など、他の多くの不正なコンテンツもここで売買しています。歴史的には、ランサムウェアのグループやアフィリエイトは Exploit を頻繁に利用していました。しかし 2021 年のコロニアル・パイプライン社の攻撃以降、Exploit と XSS が注目を避けるためにランサムウェアの議論を公に禁止したため、さらに秘密裏に利用されるようになりました。現在では、ランサムウェアのアフィリエイト募集は両フォーラムで続いていますが、「ペンテスター (penetration tester の略)」のような婉曲的な表現を隠れ蓑にする傾向があるようです。

以前は DaMaGeLaBs として知られていた XSS も、Exploit ほど厳格な会員制ではないものの、定着してきているフォーラムです。また、多くの AaaS リストやさまざまな他のコンテンツも提供しています。

最後に BreachForums ですが、2022 年初めに法執行機関の取り締まりを受けるまでの 7 年間運営されていたマーケットプレイス「RaidForums」の後継です。RaidForums と同様に、BreachForums は、個人データ、クレジットカード、認証情報、ID 文書などのデータ漏洩に特化した英語のサイバー犯罪フォーラムとマーケットプレイスです。

これら 3 つのサイトすべてが、紛争を仲裁するための場所を提供しています。Exploit (約 2500 件の詐欺報告がある) と XSS (約 760 件) は 2000 年代半ばから、BreachForums は 2022 年 4 月の創設時から提供しています。また、Verified など他の犯罪マーケットプレイスも仲裁のための場所を提供しています。

実際、Exploit は仲裁場所を 2 か所提供しており、1 つは苦情を申し立てるための場所であり、もう 1 つは「ブラックリスト」と呼ばれる、確定した詐欺の事例を記録する場所です。

A screenshot from the Exploit forum showing two rooms: "Arbitration" and "Black List"

図 1: Exploit の仲裁場所

XSS では、専用の仲裁場所に加え、詐欺サイトのインデックスである長い「リッパーリスト」を維持しています。

フォーラムの投稿にある、いわゆる「リッパーサイト」 (偽マーケットプレイス) のリスト

図2: XSS のリッパーリスト

詐欺に関する統計の概要

ソフォスでは、過去 12 か月間の金銭的な数字を引用したすべての詐欺報告を調査しました (BreachForums については、フォーラム自体の歴史が浅いため、最初に記録された詐欺までさかのぼりました)。

Exploit (苦情申請用) Exploit (ブラックリスト) XSS BreachForums
クレーム数: 211 236 120 21
総額: 1,021,998 ドル 863,324 ドル 509,901 ドル 143,722 ドル
平均値: 4,843.54 ドル 3,658 ドル 4,249.18 ドル 6,843.90 ドル
最頻値: 1000 ドル 500 ドル 150 ドル 500 ドル
中央値: 600 ドル 500 ドル 500 ドル 200 ドル
範囲: 15 ドル – 160,000 ドル 5 ドル – 150,000 ドル 10 ドル – 160,000 ドル 2 ドル – 134,000 ドル

表 1: 12 か月間の詐欺被害報告の概要 (金額はすべて米ドル表記)

これはあくまで概要に過ぎませんが、有益な情報が含まれています。まず、詐欺による被害の総額は 2,538,945 ドルです (具体的な金額が記載されている詐欺の報告のみを対象としており、記載されていない詐欺があることに留意してください)。わずか 3 つのフォーラムでの被害であることを考えると、かなりの額であることがわかります。

次に Exploit は、報告件数と詐欺による被害金額の両方で、ワースト 1 位となっています。XSS の約 2 倍の会員数を抱えているため、その評判からより多くの詐欺師が集まっている可能性が考えられます。

次に、詐欺が報告された平均額は、3 つのフォーラムすべてで同じであり、範囲も同等です。これは、詐欺の規模がフォーラムにかかわらず一定であることを示唆しています。

被害者は、2 ドルという少額でも詐欺の報告を出しています。詐欺師は金額に関係なく、お金を盗まれたことに憤慨しているようです。

高額な被害では、3 つのマーケットプレイスすべてで 6 桁の金額を記録していますが、これは例外的なケースです。多くの詐欺の被害額は比較的軽微です。

請求額を示すフォーラムスレッドのスナップショット

図 3: XSS の仲裁場所における低額な請求額

請求額を示すスレッドのスナップショット

図 4: BreachForums の仲裁場所における低額な請求額

エクスプロイトの販売を含む詐欺の詳細を説明する長文のフォーラム投稿

図 5: Exploit に関する大規模な詐欺の請求の例 (13 万ドル)。この詐欺の請求には、交渉やプロジェクトに関する情報が含まれている。

仲裁のプロセスを検討する前に、なぜ詐欺がこれほど蔓延しているのかを見ておく必要があります。2009 年当時、Microsoft は、サイバー犯罪の地下経済圏は「簡単に稼げる犯罪者のユートピア」ではなく「レモン市場 (品質が買い手にとって未知であるために、不良品ばかりが出回ってしまう市場)」であり、リッパーが存在するために、事実上、すべての取引に税金が導されることになったと説明していました。

時代は変わり、サイバー犯罪は以前よりコモディティ化されていますが、犯罪のマーケットプレイスは依然として詐欺師やリッパーの温床となっています。プライバシーを重視する (半) 匿名文化であること、サイトが排他的であるためある程度の暗黙の信頼があること、犯罪者が多いので、自分が被害者になるとは考えにくく、詐欺に対する警戒心が低い可能性があること、規制も品質保証もないオープンな市場であること、取引が暗号通貨で行われるため、追跡が不可能であること、さらに保証人などのセーフガードは任意となっていることから、法執行機関に頼ることができません。

詐欺に対する犯罪者向けマーケットプレイスの対応

犯罪フォーラムの管理者は詐欺が問題であることを十分認識しています。仲裁場所に加えて、ほとんどのマーケットプレイスでは、詐欺師に関する警告を目に見える形で表示し、販売時には保証人 (「仲介人」または「ミドル」と呼ばれることもある) の利用、つまりエスクロー (第三者預託) の一種を推奨しています。

BreachForums のトップページに掲載された詐欺に関する注意書き

図 6: BreachForums のトップページに掲載された詐欺に関する注意書き

他のフォーラムでは、さらに踏み込んだ内容になっています。たとえば Verified は、フォーラムへの偽のリンクについて明確に警告し、そのような詐欺を検出するためのカスタムプラグインを使用することを提唱しています。

詐欺に注意するようユーザーに呼びかけるロシア語のフォーラム投稿

図 7: Verified の詐欺に関する警告

同様に BreachForums は、サイトと関連インフラが同社の管理下にあり、侵害されていないことを確認するために、すべての正規ドメインのリストと、毎月の「透明性レポート」を公開しています (RaidForums で発生した問題から考えると、これはおそらく予防的措置でもあるかと思われます)。

毎月、透明性レポートが発行されることをユーザーに伝えるフォーラムの投稿

図8:BreachForums の月次透明性レポートに関する詳細

しかし、詐欺に対処するための主な方法はやはり仲裁場所で、手続きは比較的簡単です。詐欺を報告したいユーザーは新しいスレッドを作成し、詐欺をしたとされるユーザーを呼び出し、その出来事についてできるだけ詳しく説明します。BreachForums はこのためのテンプレートを提供していますが、XSS は単に必要な詳細を列挙しているだけです。

詐欺の報告に必要な内容を詳細に記載したフォーラムの投稿

図 9: BreachForums の詐欺被害報告テンプレート

詐欺報告に必要な内容を詳しく説明したロシア語のフォーラムへの投稿

図 10: XSS での詐欺報告に必要なデータ: ニックネーム、プロフィールへのリンク、連絡先、証拠 (チャットログ、スクリーンショット、ウォレット、送金)、その他の情報

モデレーターはレポートを確認し、必要であればさらに情報を求め、告発者にタグを付けて返信期限を知らせます (通常 24 時間ですが、12 時間から 72 時間の場合もあります)。

詐欺の報告に対するモデレーターの対応 (ロシア語)

図 11: Exploit のモデレーターが、告発された詐欺師に 24 時間で申し立てに対応するように指示

告発者は申し立てを受け入れることができ、その場合、被害者に賠償金を支払います。これはまれなケースです。より一般的には、告発者は申し立てに異議を唱えるか (この場合、モデレーターが仲裁する)、一切反応しないことです (この場合、フォーラムから一時的または永久に追放されることがあります)。

詐欺の報告について口論する 2 人のユーザー

図 12: AaaS リスティングに関連する XSS に関する論争中のクレーム

論争中のクレームでは、モデレーターが一方の当事者を支持するか、証拠がないため回答できないと判断する場合があります。場合によっては、一方または双方が警告を受けるか、一時的または永久に追放されます。

管理者が証拠不十分で詐欺の報告を取り下げたケース

図 13: BreachForums の管理者が証拠不十分で詐欺レポートを取り下げたケース

2 人のユーザーが詐欺の報告をめぐって論争

図 14: Exploit で Remcos で使用する暗号化に関して争われたクレーム

このような議論は時に礼儀正しく、両者が満足するように友好的に解決されます。裁定者が請求額の 50% を被疑者が返済するよう裁定した例をここでは紹介しています。

管理者が、告発された詐欺師は請求額の 50% を請求者に返済するよう裁定

図 15: Exploit のモデレーターが、告発者に 24 時間で請求額の 50% を返済するよう命じた

あるケースでは、BreachForums の管理者が、詐欺の被害者に自費で補償したこともありました。

ある管理者は、詐欺の被害者に個人的に返金すると言っている。

図 16: BreachForums の管理者が個人的に 200 ドルを詐欺の被害者に補償

しかし詐欺の報告は、侮辱や反撃に発展するのが一般的です。中には、被害者とされたユーザー自身が、後に詐欺行為で追放されたケースもあります。

詐欺師として告発されたユーザーが、告発者を詐欺師として非難

図 17: Exploit での詐欺報告により、告発者が告発者を詐欺師として非難する結果となっている

まとめ

追放やそれより軽度の警告は、仲裁における最も一般的な結果のようですが、BreachForums は少し異なるアプローチを取っています。おそらく将来の詐欺師を阻止するために、モデレーターは、追放されたユーザーの登録メールアドレス、登録および最後に見た IP アドレスを公開し、部分的にドキシング (晒し) を行っています。

追放されたユーザーのプロフィールのスクリーンショット

図 18: 公開された登録メールアドレス、登録および最終的に確認された IP アドレスを持つ、アクセス禁止ユーザーの例

ソフォスは、連続詐欺師が追放された後、単に新しい ID で新しいプロフィーを作成し、新しい登録料を支払って、再び詐欺を始めるケースが存在することに気づきました。

詐欺に関わるのは下層の詐欺師だけではない

ソフォスは、より悪名高い詐欺師が関与しているいくつかの例について指摘しました。たとえば、下記は詐欺というよりも、被害者に代わって Conti ランサムウェアグループと交渉しようとするユーザーが関与している不思議なケースです。

身代金を要求された被害者のネットワークを解読するよう求める Conti ランサムウェアグループに対する詐欺の報告

図 19: ユーザーが Conti グループと交渉するために仲裁申し立てを行う

この報告は、Exploit フォーラムで表向き禁止されているランサムウェアに関するものであるため、Exploit のモデレーターによって取り下げられています。しかし興味深いのは、この告発者が詐欺師であり、上記の告発を行う 3 年以上前から Exploit フォーラムに参加し、データの購入に関心を示す投稿を複数行っていたことです。今回の Conti の被害者との関係は明らかではありません。

フォーラムにおける、あるユーザーの過去の投稿をまとめたもので、不正なデータの売買に興味があることがわかる。

図 20: Exploit フォーラムにおける申立人の過去の投稿の一部

もう 1 つのケースは、XSS に関する最新のコンテストのスポンサーであり、以前 Lockbit のオペレータから Conti と BlackBasta ランサムウェアグループのリーダーであると非難された「Alan Wake」(ビデオゲームから取った名前) が関係するものです。あるユーザーは、Alan Wake がシェルからトラフィックを生成した対価を払っていないと非難しています。

「Alan Wake」に対するロシア語の詐欺報告書

図 21:「Alan Wake」に対する XSS 詐欺の報告書

Alan Wake はこの疑惑に異議を唱え、管理者によって案件は決着し、告発者は追放されました。詐欺行為ではなく、「侮辱、暴行、脅迫」などの「極めて不適切な行動」による追放でした。

最後に、有名なカードグループである All World Cards (XSS コンテストの以前のスポンサーでもある) は、偽の脆弱性を含む詐欺の被害に遭い、2,000 米ドルを失いました。

All World Cards が 2,000 ドルを失った脆弱性に関する詐欺の報告書

図 22: All World Cards グループが 2,000 ドルの損失を出した詐欺のレポート

これらのことから得られる教訓は、どのようなユーザーも詐欺とは無縁ではないということです。事前対策 (警告、プラグイン、保証人) と事後対策 (仲裁場所) の両方が行われていますが、ソフォスが集めたデータから判断すると、詐欺が単に多いだけでなく、成功を収めています。その理由の一つは、詐欺の手口が実に多様であることです。

今後公開予定の調査結果の第二弾では、ソフォスが確認したさまざまなタイプの詐欺を紹介します。