この記事は、シスコ セキュリティのスレット インテリジェント アナリストである Ben Nahorney によるブログ「Social media and black markets」(2019/4/5)の抄訳です。
「サイバー犯罪」と言えば、インターネットの目立たない場所で起きていると考えるかもしれません。攻撃者がダークな Web フォーラムに潜み、複雑なソフトウェアと幾十ものアクセス許可が必要な、高度に暗号化されたネットワークを駆使している・・・と思われがちです。
しかし実際は、ソーシャル ネットワークなどの目立つ場所で堂々と行われている場合もあるのです。
Cisco Talos の研究者は犯罪に関わる多数の Facebook グループを特定しました。これまでに判明した犯罪グループは 70 を超え、メンバーは数十万人規模に上っています。Facebook を利用して他の犯罪者と連絡を取り、ツールやテクニック、盗んだデータを共有、販売しているのです。中には互いにだまし合っているグループも確認されました。さらなる調査と分析を実施したところ、Facebook グループを通じて共有されているツールの一部は、Talos が過去に監視していたキャンペーンと関連性があることも判明しています。
Facebook 上で疑わしい情報や違法な情報を投稿していたのは、Cisco Talos が確認した限り、74 のグループと合計 385,000 人のユーザに上っています。このユーザ数は、フロリダ州タンパほどの都市の人口に相当します。問題の Facebook グループは実質的に、犯罪者が集まるマーケットプレイスやコミュニティです。盗んだ情報や、フィッシング キャンペーンに必要なサイバー犯罪ツールなどの売買が行われているのです。関連記事からの引用になりますが、「大規模な電子メール リストへのアクセスを提供しているスパム送信者、多額の送金を支援する犯罪者、政府機関を含むさまざま組織のシェル アカウントを販売するユーザなど」が確認されました。
こうした不正なグループやアクティビティを見つけることは非常に簡単です。Talos のブログ記事でも説明していますが、「スパム」、「カージング」、「CVV」などのキーワードにより複数の検索結果が見つかるからです。これらの不正行為が起きているのは Facebook に限られません。他のソーシャル ネットワークで関連キーワードを入力しても、不正アクティビティに関連する投稿やグループが Facebook と同様に見つかります。
重要な点ですが、サイバー犯罪者がソーシャル ネットワークの不正利用を始めたのは、つい最近のことではありません。中には 8 年も前から存在しているグループさえ見つかりました。ソーシャル ネットワーク上における不正アクティビティが注目されたのも、今回が初めてではありません。ちょうど 1 年前には、セキュリティ研究者の Brian Krebs 氏が不正行為に関わる 120 の Facebook グループと約 30 万のメンバーについて公開しています。これらのグループは削除されたようですが、犯罪を阻止するという点では、ほぼ効果がないと言えます。
では、このような活動から、どうすれば保護できるでしょうか。「不幸中の幸い」とも言えるのが、問題になっている Facebook 上の不正アクティビティがユーザを直接狙ったものではないことです。グループ内で話し合われていた個人データは、過去のインシデントから詐欺または盗まれたものでした。こうしたインシデントには、データ漏えい、POS 端末の侵害、フィッシング詐欺、標的デバイスや Web サイトのキーロガーなどが考えられます。個人データ(つまりクレジット カードの情報)は、カード番号、有効期限、CVV 番号などと共にパッケージ化されています。ある投稿では CVV 情報が 137 枚で 300 ドル、5 枚で 25 ドルで販売されていました。
こうした不正アクティビティがユーザを直接狙っていないとは言え、フィッシング キャンペーンやマルウェアの配布といった不正行為への関与が明らかなグループ メンバーも確認されています。公開の場で個人情報が売買されているのは憂慮すべきことですが、これらのグループはスパムやフィッシング詐欺の発信源でもあります。ご存知の通り、最も一般的な脅威ベクトルは電子メールです。
今回ご紹介したような犯罪者に対する多層防御の一環として、次の製品をご検討ください。
- Cisco Email Securityは高度な脅威防御能力により、受信した電子メール内の脅威をより迅速に検出、ブロック、隔離します。
- Umbrellaは、悪意のあるアクティビティに関連するドメインを特定してブロックします。
- Threat Grid は、悪意のあるファイル動作を特定し、シスコのすべてのセキュリティ製品に自動的に通知するのに役立ちます。
- Cisco Advanced Malware Protection(AMP)for Endpoints は継続的な監視能力と、特許取得済みの遡及的セキュリティ機能を備えています。エンドポイントを狙った悪意のあるファイルから「最後の砦」として保護します。
- Cisco Threat Response により、攻撃者による脅威がネットワーク内に存在しているかどうかを判断できます。
攻撃に関与していた Facebook グループについて Talos が警告し、同社と協力してアカウントを削除した事例なども含めて、詳しい情報をご覧ください。
その他の脅威について、「今月の脅威」ブログ シリーズをご覧ください。