** 本記事は、Beyond the kill chain: What cybercriminals do with their money (Part 4) の翻訳です。最新の情報は英語記事をご覧ください。**
内容に関する警告: ソフォスが発見した一部の行為の性質上、本連載記事には一部の読者にとって不快に感じられる可能性のある内容が含まれています。これには、不適切な言葉遣い、薬物や薬物依存、ギャンブル、ポルノ、暴力、放火、性風俗業に関する言及が含まれます。これらの言及は文章によるものであり、画像や動画は含まれていません。
サイバー犯罪者が得た利益をどのように活用しているのかを探った第 3 部に続き、第 4 部では、攻撃者の用語で言うところの「ブラック」 (違法な) さまざまなビジネスや収益化手段を検証していきます。
ソフォスは、法的な判断は管轄によって異なることを認識しています。しかし、これらの活動の範囲と深さを考慮すると、何らかの方法で分類せざるを得ません。そして、サイバー攻撃者自身のカテゴリを使用することは、完璧ではないにせよ論理的な選択と言えるでしょう。
第 4 部の主な調査結果
- 以前のレポートと同様に、フォーラム上で「ブラック」と呼ばれる露骨な犯罪活動に関するビジネスへの多様な関心が確認されました。
- 一部の事例では、詐欺、ねずみ講、偽造品など、比較的初歩的な犯罪ビジネスが確認されました。
- 一方で、偽造通貨/偽造紙幣、売春の管理、大麻栽培、脱税、インサイダー取引など、より深刻な犯罪活動に関係する議論も確認されました。
- 攻撃者が得た利益を再びサイバー犯罪に投資することが魅力的な選択肢になっている可能性が高いことも確認されました。サイバー犯罪に関連した投資の勧誘や提案が複数確認されました。
- 一部のフォーラムでの議論には、攻撃者の追跡、位置の特定、身元の特定に利用できる可能性のある情報や画像が含まれていました。
詐欺と盗難
ボット
ソフォスは、有名企業の報酬プログラムを悪用した初歩的な詐欺スキームを確認しました。このスキームは、与えられた「タスク」を実行するために複数のアカウントを作成するものでした。この攻撃者は「自動化拡張機能」を使用してタスクを実行し、その報酬をギフトカードとして換金するようアドバイスしていました。また、複数アカウントの検出を回避するテクニックについてのアドバイスも提供されていました。
ねずみ講
ねずみ講や詐欺に関連するスレッドが複数確認されました。具体的な内容は以下のとおりです。
- 「元金に対して 1 日あたり 3% というかなりの利回りを得られる優れた手法……投資および出金のすべては USDT (ステーブルコイン Tether) で行われる……これにより、税負担なしで収益を維持できる可能性がある」
- ねずみ講への投資の勧誘 (スキームを運営する側としての参加であり、フォーラムの利用者を騙そうとしているわけではありません)
- 実際にフォーラムの利用者をねずみ講に引き込もうとする試みの数々。「オンライン講座に関連する」とするもの、「有名なスキームではあるが、本当にうまくいく」と宣伝されているもの、そして古典的な「一攫千金」型のスキームなどが確認されました。
図 1: 「人気のある教育関連商品を販売して金銭を得たい人向けアフィリエイトプログラム」に他のユーザーを勧誘しようとする攻撃者。
合成 ID
ソフォスは、「CPN (Credit Privacy Numbers: 信用プライバシー番号)」を使って合成 ID (別名「ゴースト」) を作成する方法に関する複数のガイドを確認しました。これらは、ローンやクレジットカードの申請、車両の購入、マネーロンダリング、あるいは詐欺キャンペーンの一環として他人に販売するために使用されます。
図 2: 犯罪フォーラムに掲載された、CPN に関する詳細なガイドの一部
返金詐欺
ある攻撃者は、スポーツウェア企業から商品が配送されなかったと虚偽の申告をし、不正に返金を得る初歩的なスキームについて説明していました。このユーザーはスキームの概要を説明し、以下のようなアドバイスを提供していました。
- 注文時のサイト上での振る舞い方
- 最適な商品の注文額
- 「配達失敗」の報告方法
- カスタマーサポートをソーシャルエンジニアリングで誘導する方法
- 住所やアカウントが「バレない」ように正規の注文と不正な注文を混ぜる方法
図 3: 初歩的な払い戻し詐欺の概要を説明する攻撃者
クラシファイド広告 (三行広告)
別の攻撃者は、Avito (ロシアのクラシファイド広告マーケットプレイス) での初歩的な詐欺に関するガイドを提供していました。この手法は、ユーザーが偽の出品を行い、購入者から金銭を受け取っても商品を発送せず、代わりに購入者をプラットフォームから閉め出すものです。投稿には、スキームの説明、魅力的な出品の作り方、価格設定に関するアドバイスが含まれていました。
性産業
マネーロンダリング
マネーロンダリングの手法をいくつか挙げたスレッドの中で、ある攻撃者は以下のように提案していました。「(実在または架空の) エスコートを雇い、性労働による「収入」を申告させた後、こちらに送金してもらう・・・このアイデアは売春が合法だが買春は違法なカナダを前提としている。」 同じユーザーは、以下のアイデアも提案していました。「自ら売春婦になりすます。」
同様に、自称オーストラリア出身の別のユーザーは別スレッドで、オーストラリアでは売買春が合法であることを引き合いに出し、「エスコートになりすまして資金を洗浄する」アイデアを述べていました。
図 4: マネーロンダリングのために売春婦になりすますことを提案する攻撃者
売春の管理
ある攻撃者は、「エスコートガールの求人サイト」の作成を提案していました。「本気のエスコート業者、果ては売春宿まで」が、「商売を始めたいけれど、田舎から都市への列車代も、ドバイ行きの飛行機代も無いような女性たち」と繋がれる場にするとのことです。
この計画には、一部のユーザーからいくつかの指摘 (競合の存在、サイトへの集客を販売する難しさなど) が入りました。あるユーザーは以下のように反論していました。「そんなに面倒なことをしなくても、売春ビジネスがやりたいのなら、Web カメラスタジオを作ればいい。」
図 5: 「エスコートガールのための求人サイト」を作成する提案は、性産業についての長い議論を巻き起こしました。
あるユーザーは以下のように述べています。「ソチで自分の売春宿を開くチャンスがある。ソチ警察は話が通じるし、そこまで多額の賄賂も要求しないだろう・・・ただ、多額の初期投資が必要だ。」
同じスレッドでは、さらに以下のような不穏なコメントも確認されました。
少女たちを踏みつけ、「自分たちは何者でもなく無価値であり、お前の保護のもとでしか金銭を稼ぐことはできない」という考えを叩き込まなければならない。売春ビジネスにおいて顕著であるように、女性従業員を支配する最も単純かつ古典的な方法は、彼女たちを薬物依存にさせることである。
盗難品・偽造品
偽造金塊
ある攻撃者は、「大量の偽造金塊を保有していて、これまでも販売してきたが、問題は新しいアカウントの開設だ」として「アクティブな eBay の販売者アカウント」を持つビジネスパートナーを募集していました。
図 6: 「大量の偽造金塊」の販売への協力を求める攻撃者。このビジネスをしばらくやってきたと主張。
偽造品
ある攻撃者は、安価に入手した中国製品をオンラインで販売する際、原産国を偽る方法についてアドバイスを求めていました。同様の手法として、オンラインショップを立ち上げ、「高品質な偽物を売る」というスキームも確認されました。他のユーザーは、「中古品として商品を審査に出してみてはどうか、請求書の提示を求められないことがある」とアドバイスしていました。このユーザーは自身の経験についても詳細に述べていました。
古代の遺物
今回確認した中で最も奇妙なスレッドでは、ある攻撃者が「ファラオ時代やコプト時代 (つまり古代エジプト) の遺物をいくつか発見した」と主張していました。「その場所を知っているのは 2 人だけだ。販売したいが、輸送方法や (ブラックマーケットの) どのオークションで販売すれば良いかわからない。」 投稿には、緩衝材の上に置かれた石棺らしきものの写真が 2 枚添付されていました。
図 7: 「ファラオとコプト」のモニュメントを (ブラックマーケットの) オークションで販売したい」と主張する攻撃者
購入に興味を示すユーザーもいれば、年代や真贋を確認する手段を勧めるユーザーもいました。あるユーザーは、同じような仕事でエジプトに行ったことがあり、「専門家の鑑定があればすぐに買ってくれる」信頼できる買い手を売り手に紹介できると主張していました。
薬物
大麻
ある攻撃者は、「米国で合法的にマリファナを栽培・販売する米国企業と直接取引している」と主張していました。このユーザーはリードジェネレーターおよび投資家を募集しており、リードジェネレーターには収益の 10% が支払われると述べていました (「収益は通常 1 日あたり 1,000~4,000 ドル」)。
また、4 か月で 25kg の大麻を栽培する方法も紹介されていました。このユーザーは、水耕栽培に 7,000 ドル、肥料に 1,500 ドル、家を借りるのに 12,000 ドル、照明に月 1,700 ドルといった費用の概算を記していました。「質の良い大麻 25kg の卸売価格はおよそ 5 万ドル。売るのは簡単かつ安全で、まったく警察の興味を引くこともない。裁判になったとしても、販売の事実が証明される必要がある。」
図 8: 大麻栽培のチュートリアル、必要な器具、支出について投稿する攻撃者
麻薬とカード詐欺師
本連載の第 1 部で述べたように、ある攻撃者が、窃取したクレジットカードの詳細情報と引き換えにコカインや錠剤をサイバー犯罪者に渡していたことを認めました。
図 9: ある犯罪フォーラムのユーザーが「コカインや錠剤」をサイバー犯罪者に渡し、その見返りとして窃取されたクレジットカード情報を受け取っていたと認める様子。
脱税
ソフォスは、脱税の手法に関する詳細な議論を確認しました。その中には、脱税とマネーロンダリングの違いに関する具体的なガイダンスや、「腐敗した外国の銀行」を利用する方法と虚偽申告を行う方法の比較、「専門の弁護士」を雇うことなどについてのアドバイスが含まれていました。
図 10: 犯罪フォーラム上での脱税に関する詳細な議論の一部
インサイダー取引
ある攻撃者は、大手テクノロジー企業の内部に関係者がいると主張し、「その企業が大きな変革を行ったため、12〜16 か月以内に株価が倍になるはずだ」として、多額の投資を勧めていました。
図 11: 有名テクノロジー企業の内部に関係者がいると主張する攻撃者
別の攻撃者は、「株式市場でギャンブルをするな、インサイダー情報を得ることだけが唯一の方法だ。ハッカー集団がどの企業の文書をリークするかを事前に教えてくれれば、その企業のプットオプションを購入して、株価下落で利益を得られる」と他のユーザーにアドバイスしていました。
同様に、別のユーザーはランサムウェア攻撃を受けた企業の株を空売りできないかと質問し、ランサムウェアのオペレーターがそのような行動を検討したことがあるかと疑問を呈していました。多くのユーザーはこの手法は実行可能だと考えていましたが、中には「インサイダー取引として規制当局の目を引くことになる」として懐疑的な意見もありました。
同じスレッドでは、他にも (DDoS 攻撃や Web サイトの改ざんなど) 他の攻撃手法および株価への影響や、その企業の株を空売りする価値があるかどうかについても議論されていました。あるユーザーは、SEO やディープフェイク、AI 生成記事を活用して攻撃対象企業の株価をさらに下げる方法を提案していました。
また別のスレッドでは、ある攻撃者が「市場で大きな動きがある前に暗号通貨に関するインサイダー情報を販売している。私は通常、投資会社と取引しているが、ここにはかなりの額の暗号通貨を持っている人もいるので、力になれると思う」と主張していました。
サイバー犯罪への再投資
調査の過程で、多くの攻撃者が「手に入れた金を何に投資すべきか」と仲間に尋ねており、その回答としては「その金を生んだビジネスに投資しろ」という意見が多く見られました。すでに「一儲けした」攻撃者にとって、同じサイバー犯罪への再投資は魅力的に映るようです。彼らにとって馴染みのある分野で新しいプロジェクトに投資することで、比較的低リスクで報酬を得られるからです。
マルウェアおよびフィッシング
マルウェアおよびフィッシングに関して、進行中/開発中のマルウェアやキャンペーンへの投資の勧誘が複数確認されました。その中には、クレジットカード情報の窃取、連絡先へのスパム送信、着信の転送、カスタムアプリの起動、受信 SMS の傍受といった機能を備えた Android ボットネットへの投資の勧誘 (1,000〜2,000 ドル) が含まれており、スクリーンショットも添付されていました。
さらに、以下のような投稿も確認しました。
- ボットネットのログ (つまり、情報窃取ツールを用いて入手したデータ) の販売に関する投資の勧誘 (3,000~5,000 ドル)
- Telegram のフィッシングツール/キャンペーンへの投資の勧誘 (5,000 ドル)
- MT103 (SWIFT で使用されるプロトコル) のステージングサーバーに関する漠然とした提案 (「ダークウェブの開発者との協力者を探しています・・・1,000 万ドルの案件です」)
図 12: 独自の「ボットネットログストア」を構築するために投資を求める攻撃者
図 13: 犯罪フォーラム上で投資家への売り込みの一部として提示された Telegram フィッシングプラットフォームのスクリーンショット
DDoS
ソフォスは、1 年間の DDoS 関連プロジェクトへの投資の勧誘 (ROI: 利益の 30%) も確認しました。(このユーザーは、自身の評判や仲裁での苦情がないこと、そして個人的に条件を話し合うことを望んでいることを根拠に、詐欺ではないと主張していました。)
SIM スワッピング
SIM スワッピング投資への勧誘 (ROI: キャッシュアウトごとに 20%) も確認しました。「暗号通貨のログイン情報と、資金の入った銀行のログイン情報は揃っている。最後のステップが SIM スワッピングだ。」
クラウドファンディング
ある攻撃者は、Tor 上で「グレー/ブラックなトピック」のためのクラウドファンディングプラットフォームを立ち上げることを提案しました。他のユーザーも基本的には賛同しているようでしたが、プラットフォームには匿名性の確保と詐欺の防止の両方が必要だと指摘していました。あるユーザーは、考えられる解決策としてスマートコントラクトの導入を提案していました。
図 14: Kickstarter に似た仕組みの、犯罪活動のための「ダークネット版」クラウドファンディングプラットフォームを提案する攻撃者
偽造通貨
ある攻撃者が、偽の米国通貨を提供してマネーロンダリングを行い、投稿者が受け取る前にその資金の一部を他のユーザーに配るというスキームを提案していました。投稿者はまず 400 ドル (100 ドル札 4 枚) を提案し、その後数千ドルにまで額を上げました。偽札には複数のシリアル番号、透かし、セキュリティーストリップ、光学可変インクが使用されており、「ペンテスト」(特殊なインクで偽札を検知する方法) を欺けるとされていましたが、ATM では使用できず、使用前にエイジング処理が必要とのことでした。
別のユーザーは、偽札製造の概要を説明し、バーチャルおよび物理的な OPSEC 対策の詳細を説明していました。物理的な対策には以下が含まれます。
- 小売店では紙幣を使用せず、対面での取引 (Craigslist での取引など) でのみ使用すること
- 都市を次々に移動すること
- ホテル代、食費、ガソリン代など些細な支出には使用しないこと
- 不正に入手した物品は他国で販売すること
図 15: 偽札を用いた計画について詳細に説明する攻撃者
暴行の示唆
最後に、(おそらく意図的に) 非常に曖昧な内容を含んだ、特に不穏なスレッドを確認しました。ある攻撃者が、以下のような意味深な質問を投稿していました。「誰か、声による脅迫を受けたり、こういう話に詳しい人はいますか?ある人物がある物質と関わりを持った後、重篤な問題を抱えるようになっています。」
図 16: ある攻撃者が犯罪フォーラムに投稿した不可解な質問
別のユーザーは以下のように返答していました。
「真実の薬」(スコポラミンまたはその類似薬。ダークネットで入手可能) を使えば・・・その人物は自らすべてを白状し、話すだろう。私は、スコポラミンを使った強盗が実際に成功したのを見たことがある。男は言われた通りすべてをやった。家から書類とノートパソコンを持ち出し、ATM で金を引き出し、自分で銀行口座のパスワードも入力した。用量には注意が必要だ。
スコポラミン (主に乗り物酔いや手術の麻酔による吐き気や嘔吐を抑えるために処方される) は、強盗に使用された事例があり、拉致や性的暴行の目的でも使用されるとされています。
これまでの 4 回の記事では、VHS テープのデジタル化やモバイルフィットネスアプリの開発といった無害なものから、売春宿の経営、偽造通貨、大麻栽培といった完全な犯罪行為まで、幅広いビジネスへの関心について探ってきました。では、これはサイバーセキュリティ業界、法執行機関、そして社会全体にとって何を意味するのでしょうか。
本連載の最終回では、攻撃者たちが「サイバーキルチェーン」の先に活動を広げることの意味、課題、そして機会について考察します。
