筆者がしばしば取り上げてきたKrebsonSecurityサイト(代表はブライアン・クレブス(Brian Krebs)氏)は、最近「英国のサイバー犯罪対策機関である“National Crime Agency:NCA (筆者ブログ(筆者注3-2)参照)が広告キャンペーンで積極的に新たなサイバー請負犯罪阻止に取り組む」をテーマとして取り上げており、久しぶりに同ブログを熟読した。
Brian Krebs氏
筆者のブログではかなり以前からサイバー犯罪を取り上げており、要約するとサイバー攻撃(DoS攻撃:Denial-of-ServiceAttack:サービス妨害攻撃)→DDoS 攻撃 :DistributedDenial-of-Service:分散型サービス妨害攻撃)→DRDoS 攻撃(DistributedReflectionDenial-of-ServiceAttack:分散反射型サービス妨害攻撃)インターネット上に存在するマシン群に通信を反射させて、大量のパケットを攻撃対象に送信するDDoS攻撃→、Booter やStresser と呼ばれる DDoS 攻撃代行サービスが登場しており、攻撃に関する知識を持たないユーザでも DRDoS 攻撃を容易に実行できる状況になっている(NICT から抜粋)。
特に筆者が関心を持ったのは、英国などで“Booter” や“Stresser” と呼ばれる DDoS 攻撃代行サービスが安価でかつ専門知識が不要な条件のもとで若者社会で広がっている点である。NCAがこれらの犯罪予備軍に対する警告強化の必要性を資金をかけて行う意義を改めて検証したのは、これらはいずれわが国の重要課題と考えた方である。
ちなみに、わが国の情報処理推進機構(IPA)サイトで“Booter” や“Stresser”を検索したが結果は「該当なし」であった。
また同時にクレブス氏は、数週間前、Googleサイトで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。その後の同氏とGoogleのやり取りのついても詳しく解説している。
そこで、KrebsonSecurity サイトのブログを仮訳するとともに、筆者なりに補足を試みる次第である。なお、筆者の責任で項目立てを行った。(注1)
なお、言うまでもないが筆者の責任でリンクや注書きを補足、追記した。
1.NCAのオンライン不正行為に関する有料化を前提とした警告キャンペーン
NCAは、コンピューター犯罪を可能にするサービス、特にトロイの木馬プログラムやDDoS for-hireサービス(筆者注1)(筆者注2)をウェブで検索する若者を対象としたオンライン広告を掲載している。 今回の広告キャンペーンは、2017年後半に開始された同様のイニシアチブに従い、他の人に危害を加えるための使用は違法であり、潜在的な顧客を刑務所に入れる可能性があると説明することにより、そのようなサービスの需要をかなり抑えたと英国の学術研究者は述べている。
たとえば、Googleで英国のインターネットアドレスから「booter」または「stresser」を検索すると、そのようなサービスを使用して他の人を攻撃していることはオンライン行為は違法であると警告する有料広告が検索結果の最初のページに表示される可能性が高くなる。 このような広告費用は英国の国家犯罪庁(NCA)によって賄われており、2017年12月から6か月間、関連するキャンペーンで成功を収めた。
2.NCAのネット広告に目的と若者がターゲット
NCAのシニアマネージャーであるデビッド・コックス(David Cox)氏は、サイバー犯罪から若者を遠ざけるための継続的な取り組みの一環として、ブーターサービスやさまざまなタイプのリモートアクセス・トロイの木馬(RAT)(筆者注3)を探し、また好奇心とスキルを十分に生層としている13歳から22歳の英国男性を広告のターゲットとすることを明らかにした。同広告は、広告や英国のサイバーセキュリティ・チャレンジ(注4)にリンクしている。このチャレンジでは、コンピュータセキュリティの概念を巧みに試し、サイバーセキュリティの役割の潜在的なキャリアを強調している。
David Cox :Senior Manager at National Cyber Crime Unit of National Crime Agency (NCA)
Linkedinから引用
コックス氏は以下のとおり述べた。「実際には、子供たちを教える教室の前に立っている人たちは、彼らが教えようとしている人よりもサイバー犯罪についての情報が少ない。同キャンペーンはいわゆる「ノック・アンド・トーク(Knock and talk)」(注5)をサポートするように設計されていると指摘した。マルウェアをダウンロードしたり、DDoS for-hireサービスを購入した若者の家を調査者が訪問し、そのような活動を警告するものであり、これは、他の方法があることを人々に示すことのすべてといえる。」
一部のマルウェアをサービスとして展開したり、ブーターを使用して誰かまたは何かをオフラインにしたりすることで法的な厳しい制裁を受ける可能性があることは、カジュアルな読者には明白に思えるかもしれませんが、これらのサービスに頻繁にアクセスする人の典型的なプロファイルは若い男性であり、彼らは影響を受けやすく、他の誰もがすでにそれを行っている志を同じくする人々のオンラインコミュニティに参加している。
2017年1月13日、NCAはレポート「Pathways into Cyber Crime(全18頁)」を公表した。このレポートは、さまざまなサイバー犯罪の調査に関連して、英国の法執行機関が訪れた多くの若者へのインタビューに基づいて作成された。
NCAが見出したこれらの調査結果は、疑わしい容疑者へのノック・アンドトーク・インタビューを通じてもたらされたもので、これら容疑者の61%が16歳より前にハッキングに従事し始め、容疑者と逮捕者の平均年齢はハッキング事件に関与した人々は17歳であった。
サイバー犯罪に関与している、またはその周辺で活動している人々の大多数は、コンピューターゲームへの関心を通じて関与したことをNCAに述べた。
これら犯罪者の大部分は、ゲーム感覚で不正、詐欺的に利用するWebサイトや「改ざん」フォーラムに参加し始め、その後、さらに犯罪ハッキングフォーラムに進んでいた。
NCAは、訪問した容疑者たちが個人が好奇心、挑戦を克服すること、または仲間のより大きなグループに自分を証明することを含む、主要な動機のほんの一部を心に留めていることを学んだ。同報告書によると、典型的な犯罪者は、捕まる危険性が低いと認識されていることや、一般的に犯罪が被害者のない犯罪であったとの認識など、悪条件の完全な嵐に直面していた。
また、NCAの報告書は「個人はサイバー犯罪をリスクが低いと考えているため、法執行活動は抑止力として機能しないし、さらに報告対象者は、彼らが知っているか聞いたことのある誰かが逮捕されるまで法執行機関を検討しなかったと述べた。これらの犯罪抑止力が機能するためには、犯罪者(または潜在的な犯罪者)と法執行機関がこれらの個人の目に見える存在として機能することの間のギャップがなくなっている必要がある。」と述べている。
コックス氏は、NCAは今後も無期限にこの種の広告を掲載し、プラットフォームがDDoS for-for-hireサービスのターゲットになる可能性が最も高いオンラインゲーム業界の大手企業など、外部ソースからの資金提供を模索していると語った。また、彼はこのプログラムを「大成功」と呼び、過去30日間(うち13件は資金上の理由で掲載されていなかった)、広告効果は約532万インプレッション(Webサイトの広告の露出回数。1広告が1回表示されることを1インプレッションという)、57,000クリック以上を生成したと指摘した。
曲線の平坦化
ケンブリッジ大学サイバー犯罪センターの所長であるRichard Clayton氏は、攻撃を開始するために一般的に指揮されたり悪用されたりするタイプのシステムを装ったインターネット上のさまざまなセンサーを使用して、DDoS攻撃を数年間監視してきた。
Richard Clayton氏のHPから
昨年、クレイトンとケンブリッジの研究者たちは、法執行機関の介入(2017年から2018年にかけてのNCAの反DDoS広告キャンペーンを含む)が、DDoS for for Hireサービスの需要の伸びを明らかに鈍化させたことを示す論文を発表した。
同氏は、「我々のデータは、その広告キャンペーンを実行することにより、NCAがその期間中のブーターサービスの需要を平準化できたことを示している。言い換えれば、これらのサービスの需要は、通常のように期間にわたって増加することはなく、期間の終わりにそれを行う人が最初よりも多くなることはなかった。私たちがこれらエータをNCAに提示したとき、キャンペーンの費用は1万ポンド未満であり、このタイプのサイバー犯罪が6か月間拡大するのを阻止したので、彼らはこれまでにとても喜んでいた。」
クレイトン氏は、「問題の一部は、多くのブーター/ストレッサープロバイダーが合法的なサービスを提供していると主張していること、そして彼らの見込み顧客の多くは、これが真実であると信じるのに熱心すぎ、また、価格も手頃であると指摘した。すなわち、一般的なブータ・ーサービスを利用しても、月額数ドルでかなり強力なDDoS攻撃を開始できる点である。」と指摘し、さらにクレイトンは「これらのタイプのサービスを合法的に提供する合法的な会社があるが、これが発生する前に実施しなければならないあらゆるタイプの契約があり、そして、あなたは1ケ月に10ドルではそれを手に入らない」と述べた。
悪魔になるな(DON’T BE EVIL)
一方、NCAの[booter」または「stresser」阻止広告キャンペーンは、これらのDDoS-for-hireサービスを実行している同じ人々の多くが取り出したGoogle広告と直接競合しています。この一部の読者は、サイバー犯罪サービスが、正当なビジネスと同じように、Googleや他の検索サイトに広告を出すことが多いことを知って驚かれるかもしれない。
数週間前、KrebsOnSecurityは、Googleで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。しかし、この発見に関するツイートで述べたように、これはほとんど新しい現象ではない。
ケンブリッジ大学のクレイトン氏は、そのような広告の普及について彼が2018年に書いたブログ投稿をもって私(Krebs)に指摘した。これは、そのプラットフォームを介した許容可能な広告に関するGoogleのポリシーに違反している。 Googleは、「損害、危害、または傷害を引き起こす」サービスの広告は許可されておらず、「不正行為を可能にするように設計されている」サービスの広告は許可していないと述べている。
クレイトン氏は、Googleは最終的に問題のある広告を削除したと述べた。しかし、グーグルの私の数秒間が明らかにしたように、会社は人々が不満を言うとき、これらの条件で広告の配置(および支払い)を明示的に禁止するのではなく、モグラをすることに決めたようです。
グーグルはKrebsOnSecurityに、それはそのポリシーを実施するためにテクノロジーと人々の組み合わせに依存していると語った。
Googleからはクレブス氏宛てに書面で以下の通り回答があった。「当社のプラットフォーム上のユーザーを保護するために設計された厳格な広告ポリシーがある。ユーザーを利用したりユーザーに危害を加えたりするように見えるサービスを含め、不正行為を可能にする広告は禁止されている。広告ポリシーに違反する広告を見つけた場合は、削除措置を講じており、この場合、広告はすぐに削除された。」
Googleは、この点に関する施行の取り組みを詳しく説明している最近のブログ投稿で指摘し、同じ理由で、2019年に同社はポリシーに違反した27億を超える広告(1日あたり1,000万を超える広告)を削除し、100万の広告主アカウントを削除したと述べた。
上の写真の広告は、私がgoogleに働きかけた直後に表示されなくなり、残念ながら、別のブーターサービス(以下に表示)の広告が、すぐに削除したものに取って代わった。
*********************************************************************************************************************
(筆者注1) DDoS-for-hire(DDoS請負)サービスは、Booter やStresser と呼ばれる DDoS 攻撃代行サービスと同義である。
(筆者注2) サイバーセキュリテイソフトウェア・サービス会社であるImpervaも“Booters, Stressers and DDoSers”と題するレポートで“DDoS for hire service”やさらにはボットネットのレンタル相場についても詳しく論じている。
(筆者注3) リモートアクセスを可能とするトロイの木馬(Trojan horse)、通称 RATについてCISCO JAPAN BLOG から一部抜粋、引用する。
RAT の詳細
攻撃者にとって RAT は非常に便利です。RAT は、ダウンロードファイルや電子メールの添付ファイルといった一般的な経路で配布されます。多くの RAT は Downloader、Administration Tool、Infostealer などの機能をすべて備えているため、攻撃者は各機能を手軽に利用できます。つまり、RAT は複数のツールを統合したパッケージだと言えます。
RAT にはさまざまなバリエーションがあります。多様な攻撃シナリオで使用できる一般的なものから、特定の標的に合わせて高度にカスタマイズされたものまで、幅広く存在しています。決まったプロキシを使用して攻撃者の所在を隠す RAT や、同じ目的で Command & Control(C2)サーバを使う RAT もあります。(以下、引用は略す)。
(筆者注4) Cyber Security Challenge UKに同社のHPから抜粋、仮訳する。なお、同社の組織概要はEUのENISA2014年報告(全39頁)が分かりやすく解説しているので冒頭で引用、仮訳しておく。なお。このENISA報告は、ENISAサイトからダウンロードされたい。
「Cyber Security Challenge UK Ltdは、英国のサイバーセキュリティスキルのギャップを埋めるために2010年3月に設立された非営利企業である。調査対象の専門家の約90%が、調査対象のサイバーセキュリティジョブの8つのカテゴリすべてにわたって、企業が必要とするサイバーセキュリティ能力を有する人材を採用するのに困難さを抱えており、ほぼ60%がサイバーセキュリティの英国市場内で(正しく)予測されるジョブ数の増加を予測していた。
Cyber Security Challenge UKの使命は、あらゆる年齢のサイバーセキュリティの才能を持つ人々を十分に特定し、刺激を受け、トレーニング方法を見つけ、英国の経済の繁栄、国家安全保障、選ばれた生き方等を効率的に保護するために必要な仕事に就けるようにすることである。
同社は政府、民間部門、学界からの支援を受けて運営されており、国家安全上の理由や市民がデジタル手段を使用して安全に行動することを選択できるだけでなく、経済を支えるためにも、サイバーセキュリティの国家的重要性を認識している。そして、そのことが英国の将来の繁栄と成功に必要な市場の成長を可能にする。
Cyber Security Challenge UKは、十分な数の有能な人々をサイバーセキュリティの専門職で学び、キャリアの機会に紹介するように設計されたユニークな活動プログラムである。」(以下、略す)
【Cyber Security Challenge UK】サイトから抜粋、仮訳
(1)当社の任務
サイバーセキュリティ業界への人材の繁栄と包括的パイプラインを確保することであり、2010年3月に設立された当社は、さまざまなバックグラウンドを持つより多くの人々がサイバーセキュリティの専門家になるための刺激となるように設計された一連の全国大会、学習プログラム、ネットワーキングイニシアチブを開発した。
我々は、サイバーへのキャリアパスを考慮していなかったかもしれない人々の参加を促すために、次の未開拓の才能のプールを特定する。
そのために、性別の多様性と神経多様性のイベントをサポートして、サイバーセキュリティ業界に適したスキルと多様な考え方を持つ人々の間で機会を促進するために、女の子専用のサイバーキャンプを開発した。私たちの「イマーシブスクールプログラム」、「オンラインゲーム」、「キャリアフェア」は、サイバーファースト、サイバーディスカバリー、サイバーセンチュリオンコンペティションなど、英国の他の教育プログラムへのエントリーポイントを提供する。我々は、特に社会経済的貧困の分野で、教育の早い段階で学生を対象としている。ただし、エントリーレベルの仕事、見習い、さらなる教育の機会にも焦点を当て、大学レベルまでネットワーキングとサイバー・トレーニングを奨励している。
(2)ENISAとの関連、協働活動
欧州サイバーセキュリティコンペティション2020(ECSC)は、英国の新興サイバースペシャリスト(16歳から25歳)から最高のものを引き出し、ヨーロッパの同時代の人々と対戦する。 私たちは英国のチームを選択、育成、管理し、技術トレーニングを提供する業界のリーダーと協力して、チームが競争で最高のチャンスを得られるようにする。
EUのサイバーセキュリティを担当するEUの代表機関であるENISAが運営するこのコンテストは、サイバーセキュリティで成功するために必要なスキルの探求である。ECSCは、業界のリーダーとつながり、欧州大陸全体の仲間とネットワークを築き、サイバーセキュリティ業界の詳細を発見するユニークな機会でもある。
(筆者注5) 法執行機関で使う場合は、ノック・アンド・トークとは、1人または複数の警察官が個人の住居に近づき、ドアをノックし、所有者に住居を検索するための同意を求める調査手法をいう。この手法は、犯罪行為が疑われる場合によく利用されますが、捜査令状を取得する十分な証拠がない場合の利用される。Wikipedia から筆者が仮訳。
*******************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
