** 本記事は、Beyond the kill chain: What cybercriminals do with their money (Part 3) の翻訳です。最新の情報は英語記事をご覧ください。**
内容に関する警告: ソフォスが発見した一部の行為の性質上、本連載記事には一部の読者にとって不快に感じられる可能性のある内容が含まれています。これには、不適切な言葉遣い、薬物や薬物依存、ギャンブル、ポルノ、暴力、放火、性風俗業に関する言及が含まれます。これらの言及は文章によるものであり、画像や動画は含まれていません。
サイバー犯罪者が得た利益をどのように活用しているのかを探った第 1 部と第 2 部に続き、攻撃者の言うところの「グレー」(法的な境界線上にある、あるいは倫理的・道徳的に疑わしい) さまざまなビジネスや収益化手段を検証していきます。
ソフォスは、法的な判断は管轄によって異なることを認識しています。しかし、これらの活動の範囲と深さを考慮すると、何らかの方法で分類せざるを得ません。そして、サイバー攻撃者自身のカテゴリを使用することは、完璧ではないにせよ論理的な選択と言えるでしょう。
第 3 部の主な調査結果
- サイバー犯罪フォーラムにおいて、攻撃者たちが非常に多様な「グレー」ビジネスへの関心について議論する様子が観察されました。
- その中には、スパイウェアや脆弱性の販売といった、セキュリティ業界にとって懸念すべき内容も含まれていました。
- その他、攻撃者はトラフィック生成、ポルノ、ギャンブル、医薬品、輸出入、ドロップシッピング、アンティークの販売などに関心を示していました。
- 他に、「ロシアの受刑者にソフトウェア開発を外注する」という提案や居住許可の取得、インテリジェンスの販売などの興味深いスキームも確認されました。
- 一部のフォーラムでの議論には、攻撃者の追跡、位置の特定、身元の特定に利用できる可能性のある情報や画像が含まれていました。
「合法な」マルウェアおよびサイバーセキュリティサービス
スパイウェア
あるユーザーが、スパイウェアを「侵入テスターや高値で購入してくれる企業」に「合法的に」販売することを提案し、「抜け道はあるか?」と問いかけました。別のユーザーはこの問いに対し、「弁護士が必要だ」としながらも、「それでも Cobalt [Strike] などのツールが存在している」と指摘しています。さらに別のユーザーは FinFisher と NSO Group を引き合いに出し、弁護士に連絡するよう攻撃者に助言しています。
図 1: マルウェアを「侵入テスターや高値で購入してくれる企業」に「合法的に販売」することが可能かどうかを尋ねる攻撃者
脆弱性
あるユーザーが「ハッキング、脆弱性の探索、IT セキュリティに携わる『戦友』」を募るスレッドを立てていました。自称スクワ在住のこのユーザーは、地元企業のネットワーク内の脆弱性を発見し、企業側に連絡して証拠を提示し、「インフラストラクチャを整備するための単発サービス、または継続的な保守契約を提供する」ことを計画していると説明しました。その目的は「保護サービスを提供することであり、金銭を恐喝することではない」としています。このユーザーはさらに、「誰かを脅迫したり、金銭を恐喝したり、損害を与えたりするつもりはまったくありません」とも述べています。
図 2: 脆弱性ビジネスを実行するパートナーを募る攻撃者
このユーザーは「たまたまこの状況に巻き込まれて多くの資金を集めることができ、定期的な顧客もできた」と述べており、このビジネスがすでに稼働していることを示唆しています。
他のユーザーは、「これはホワイトな行為でもなんでもない、単なる恐喝だ…たとえるなら、路上で誰かを殴った後に、自分の運営する空手教室を勧めるようなものだ」と指摘しています。
トラフィック生成
インターネット広告やマネーロンダリング/資金獲得に関連して、トラフィックを人為的に増やすスキームがいくつか確認されました。確認されたスキームには、以下のようなものがありました。
- 「人気フォーラムでの広告」や「企業へのメール送信」に 3,000~4,000 ドルを費やし、受動的に 1 万~ 2 万ドルの利益を得ているユーザー
- Spotify の再生回数を人工的に増やして収益を得る計画
- OnlyFans のプロフィールにトラフィックを誘導する計画
- Facebook を使った「リードジェネレーション」
- Telegram アカウントを「バグを使って」登録し、1 日 2 万~ 50 万ルーブルの受動的収入を得る手法
- アフィリエイトマーケティングに関連した TikTok でのプロモーション活動
図 3: Spotify のストリーミング収入を人為的に水増しする方法について書かれた詳細なガイドの一部。この攻撃者は、「半年前に別のフォーラムで」この方法を見つけ、「ある程度習得し、洗練させた」と主張しています。
また、Tor の秘匿サービス上でマーケティング/広告代理店を立ち上げるという提案も目にしました。提案者はこの代理店の性質や顧客層を明確にしていませんでしたが、「ダークなテーマでの独自のサービスを」と表現していました。この代理店が違法なビジネス、特に秘匿サービス上のビジネスを宣伝するものであることを示唆しています。
ポルノグラフィ
Web カメラスタジオ
ソフォスは、Web カメラスタジオの拡大を支援するとする投資の勧誘 (ROI: 供託金の返金+利益の 25%) を観察しました。攻撃者はコストの概要と広告の仕組みを説明し、制作物は「英語で西洋の視聴者向け」だと述べていました。
Web カメラスタジオに関する別の提案には、「5~6 部屋あり…フランチャイズやビジネスプラン (試算つき) を探しています」と記されていました。一部のユーザーはこの活動の合法性について議論しており (「ロシア連邦刑法第 242 条に関する複数の文献と司法実務を読んだが、この件で起訴するのは難しそうです」)、弁護士への相談を勧めていました。その他のユーザーは、広告のアフィリエイトプログラムへの登録方法について具体的なアドバイスを提供していました。
図 4: 「Web カメラスタジオ開設」のためのフランチャイズやビジネスプランを求める攻撃者
OnlyFans
ソフォスは、OnlyFans を用いたマネーロンダリングや資金の分散に関する複数のスレッドを確認しました。その一部は、小規模なマネーロンダリングや現金化 (「AI が生成した足フェチポルノをアップロードする OnlyFans アカウントを作成し、盗んだクレジットカードや PayPal アカウントを使って購読する」など) に焦点を当てたものであり、他の投稿は収益を上げることそのものを目的としていました。
図 5: OnlyFans を使って「簡単にお金を稼ぐ」スキームの概要を説明する攻撃者
また、ある攻撃者 (おそらくはランサムウェアのアフィリエイト) による投稿では、OnlyFans について「地元の女の子を使ったマネーロンダリングの手段として非常に有効」だと述べており、「身代金の支払いのうち 10~20% をこの手法で洗浄している。ただし制裁があると厄介だ…米国でLLC (合同会社) を設立して、収益でビットコインを買い、それを銀行に入金すればよい」と書いていました。
図 6: (おそらくランサムウェアに関係する) 攻撃者が、マネーロンダリングのために「地元の女の子」を利用することを提案する様子。
OnlyFans、Frisk、Fansly、ManyVids 向けの「トラフィック管理」に関する詳細な提案も確認しました。その提案は、「多くのキーワード検索で上位に表示される強力なポルノサイトのコピーを作成する」というものでした。この投稿には費用、プロモーション活動、1 日あたりの推定トラフィックなどの概算も記載されていました。
図 7: 「OnlyFans、Frisk、Fansly、Manyvids 向けの「トラフィック管理ツールへの投資」に関する詳細な提案の一部
Web カメラを使った配信
あるユーザーが数年間にわたって月に 2,000 ドルを「オンラインでのわいせつ活動」で稼いだ方法を詳述した長文スレッドを見つけました。このスレッドには、ギフトカードやギフトの扱い方、顧客から住所を隠す方法、魅力的なコンテンツの作り方、他のモデルのコンテンツを転売するコツ、顧客を引き付け維持する方法などが書かれていました。
図 8: 「オンラインでのわいせつ活動」の経験を詳細に共有する投稿の一部。
ポルノの収益化
ソフォスは、ポルノで利益を上げることについての長い議論を確認しました。その中には、以下のようなものがありました。
- 俳優の募集方法に関するアドバイス
- 契約に関するアドバイス
- 「ポルノの撮影は特に楽しい作業ではない」という率直な話
- 「違法な手段」や、ニッチかつ違法なポルノ (獣姦など) に関する合法性の議論
- 「モデルを探して既存の人気 Web カメラサイトに登録し、その活動の一部を取り分として得ている」というユーザーの告白
- アフィリエイトプログラムや広告スキームの仕組みの詳細な説明。割合、金額、支払い方法、ROI などを含む。
また、次のようなコメントも確認されました。
時々、「オンラインストアの管理者募集。英語ができて社交的な女性」のような広告が出ることがあります。応募者が来ると、彼女たちは「管理者として採用される」と告げられますが、その前に「ネットでのコミュニケーションを学ぶ必要がある」「チャットルームでの会話、英語でのやり取り、トークなどを練習する」といった名目で、PC の前に座らされます。その後 1 か月ほどかけて段階的に追い込まれ、「実際にはストアなど存在せず、ポルノモデルをやらなければならない」と告げられるのです。中にはそこで事実を知って辞める人もいますが、そのまま続ける人もいます。
この情報の一部は内部告発的なものである可能性もあり、あるユーザーは「このスタジオのモデルたちと話をした」と述べています。
ギャンブル
投資の勧誘
以下のような、ギャンブル関連の投資の勧誘も確認されました。
- 米国/中国居住者向けの NBA 専門ベッティングサイト
- Pluribus という AI ポーカーボットに似たポーカーボットの開発提案
- ROI 50% をうたう「大規模ビットコイン P2P ベッティングプラットフォームの構築と立ち上げ」に関する投資の勧誘。また特典として、このプラットフォームには「フォーラムのコミュニティによる侵入テストが行われる」と記されていました。
図 9: 「大規模ビットコイン P2P ベッティングプラットフォーム」への投資を求める攻撃者
暗号通貨くじ
ある攻撃者は、暗号通貨くじ moonpot.com (ユーザーが暗号通貨を「貯蓄ポット」に入金し、利息を得て、賞金抽選に参加する) に参加した経験を共有し、「イールドファーミングのようなものだ」と述べました。彼らはこれまでに約 2,000 ドルを獲得したと主張し、当選確率を上げるために他のユーザーにも資金提供を呼びかけていました。信用に不安がある場合には「あなたの送金額と同額をフォーラムに入金してもよい」とまで申し出ています。投稿には、特定の日付にいくら当選したかを示すスクリーンショットも添付されていました。
図 10: 暗号通貨くじについて説明するスレッドに添付された、攻撃者が特定の日付に当選した金額を示すスクリーンショット。
医薬品
ある攻撃者は、「ヨーロッパや米国で医薬品を販売するさまざまなアフィリエイトプログラムがある」と述べました。この攻撃者は「EU に自分の倉庫を開設したい」という意向を示し、法域、運営上の落とし穴、「処方箋なしの医薬品販売に警察がどれくらい早く動くか」、どの決済ゲートウェイ/銀行を使うべきか、などについてアドバイスを求めました。
図 11: 「欧米で医薬品を販売するためのアフィリエイトプログラム」について、さまざまな具体的質問を投げかける攻撃者。
別のユーザーは、「ロシアから EU への医薬品の輸送は簡単だ」とし、「警察は医薬品の押し売り業者の活動に関心がない」と述べました。このユーザーはさらに、「チェコ共和国からロシア連邦にザナックス (抗不安薬) を注文した知り合いさえいる」と述べました。
図 12: 同じスレッドで長所、短所、落とし穴について議論するユーザー
また、「スポーツケミカル」(おそらくはステロイド/強化薬) の卸売りという漠然とした提案も確認されました。
輸出入
車両
自動車の輸出入に関しては 2 件のスレッドを確認しました。1 件目では、あるユーザーが「税関手続きを回避して」ヨーロッパから毎週 5~10 台の自動車を「ヨーロッパでの価格+自分の取り分」で輸送すると持ちかけていました。
2 件目では、別の攻撃者が「クリーンなスーパーカー/高級車を米国で 50% オフで販売」するとし、「完全な法的書類と所有者証明書付き」だと主張していました。これらの車両は「転売・輸出・個人使用いずれにも利用可能」とされていました。
図 13: 米国で「クリーンなスーパーカー」を販売するとする攻撃者
グッズ
ある攻撃者は、「中国製の安価な衣類・靴・アクセサリーを 200〜400% の利幅で販売する」スキーム、いわゆる「中国製品のタジクネットワーク」への参入に関心を示していました。このネットワークは「タジク系ディアスポラが支配している」とされています。他のユーザーは、「ドロップシッパー」(第三者の配送業者) への相談を提案しました。そのうちの 1 人は、「さまざまなブランドの偽造品を入手できる場所を知っている…興味があれば、私に直接連絡を」と述べていました。
さらに別のユーザーは、「私はかつてこの件に深く関わっていた」として、場所、費用、流通プロセスなど、広範かつ具体的な情報を共有していました。
特殊なスキーム
アンティークの日本刀の販売など、少し変わった輸出入ビジネスも確認されました。あるユーザーは「15 世紀の刀を含む 6 振りの刀を販売中」としており、購入の意思がある場合に限り、「証明書のスキャンコピーおよび写真を提供する」と述べていました。さらに、「すべては秘密厳守で、購入者の匿名性は保証される」とも記されていました。刀の真贋や流通経路などは明らかにされていませんでした。(美術品や骨董品はマネーロンダリングに利用されやすく、一部の著名なオークションハウスでは仮想通貨による支払いも受け付けていることから、こうした商材が魅力的な手段と見なされる可能性があります。)
図 14: ある攻撃者が販売中とする日本刀の一覧。
また、別のスレッドには次のような怪しげな投稿が確認されました。「ロシアからトルコへの貨物輸送をしてくれる人/会社を探しています。麻薬の密輸や人身売買ではありません!」
その他のスキーム
ナンバープレート
あるスレッドでは「交通警察のあらゆる要件に準拠した」車両用ナンバープレートを製造する事業への投資の勧誘を確認しました。共同出資またはフランチャイズが提案されており、投稿者は以下のように述べていました。「Web サイト、マーケティング計画、広告資料、付随書類、設備、そして行政上のあらゆる問題の解決を提供します。事業への参入は 20,000 ドルからです。」
インテリジェンス
ソフォスは、「インテリジェンスブローカー」を名乗る、有名な攻撃者による投資への勧誘を確認しました。このプロジェクトは 「ウィキリークスに着想を得た」もので、「腐敗した政権を暴き、不正に光を当てるために、さまざまな政治的目的に関するインテリジェンスを公開すること。加えて、自らの活動資金と生活費をまかなうために、未公開のインテリジェンスのセットを販売すること」を目的としています。
図 15: 「ウィキリークスに触発されたプロジェクト」への投資を求める攻撃者
別の攻撃者は、2021 年の Colonial Pipeline 攻撃に関する「いくつかの売却可能な秘密」を所持していると主張しており、その中には「政治家との汚職に関する非常に闇の深い内容」も含まれているとのことでした。この攻撃者は、「すべては文書とスクリーンショットに記録されている」として、情報の対価として 15,000 ドル相当の XMR (Monero) を要求していました。
受刑者
建設業や不動産業など、さまざまな「ホワイト」や「グレー」のビジネスに携わっていると主張する有名なフォーラムユーザーからの、型破りな提案が確認されました。それは、ソフトウェア開発、ハードウェア製造、サイバーセキュリティ業務をロシアの受刑者に委託するというものでした。
この提案は、(他の調査からマルウェア開発者だと推測される、とある攻撃者を含め) 一部で嘲笑を受けましたが、(粗悪なマルウェアの作成など) 場合によっては有効であるとの意見も確認されました。
図 16: 「ソフトウェア、情報セキュリティ、ガジェット、デザイン」に受刑者を利用することを提案する攻撃者
興味深いことに、多くのフォーラムユーザーが「フェーニャ」 (ロシアの刑務所で広く使われる方言) を使っているにもかかわらず、このスレッドでは受刑者に対して否定的な意見も見られました。この提案に一定の価値を認めるユーザーもいれば、実現不可能だと考えるユーザーもいました (このユーザーのアイデアに対する意見は、他のスレッドでも同様に割れていました) 。
このスレッドには、ロシアの矯正施設の内部を写したとされる 3 枚の写真が投稿されていました。そのうち 2 枚はオープンソース上で他に確認できたものですが、もう 1 枚は出所が不明でした。
図 17: フォーラムのユーザーがアップロードした画像 (ロシアの矯正施設の一室を撮影したものと思われる)
プロジェクト管理
「さまざまなブラック/ホワイトプロジェクトの立ち上げに豊富な経験を持つプロジェクトマネージャーが、あなたのプロジェクトを最適な価格で実現するお手伝いをします」という広告を確認しました。
OPSEC: 攻撃者の正体
調査を進める中で、攻撃者らが他者に対して「自分は何をして生計を立てているか」を語る内容について洞察を得ました (複数のフォーラムでこのテーマに関するスレッドがいくつか確認されました)。回答には次のようなものがありました。
- プログラマー
- IT スペシャリスト
- フリーランス
- 無職
- インターネット広告関係
- スポーツベッター
- SEO
- セキュリティコンサルタント
居住許可
ポーランド、スロバキア、ベルギー、ポルトガル、アイルランド、英国、ブルガリア、ルーマニア、ギリシャ、米国、アラブ首長国連邦、キプロス、マルタなど、さまざまな国の永住権や一時滞在許可証、市民権を販売すると申し出るユーザーも数人確認しました。
図 18: さまざまな滞在許可証を販売する攻撃者
本連載の第 4 部では、5 つのフォーラムで観察された犯罪 (「ブラックマーケット」) ビジネスでの利益について論じます。
