オンライン犯罪者の昔と今

今どきのオンライン犯罪者たちを動かしている動機（モチベーション）は、
政治でも感情でもなく、ただひたすら「金」（カネ）である。

1 2	今どきのオンライン犯罪者たちを動かしている動機（モチベーション）は、政治でも感情でもなく、ただひたすら「金」（カネ）である。

こうした新しい世代のオンライン犯罪者たちは、アンダー・グラウンドのオンライン・フォーラムで集い、
進化してきた（図1-1）。
日々新作が生まれるマルウエアやオンライン詐欺ツールも、
不良プログラマーや金に困ったソフトウエア・エンジニアが小遣い稼ぎで
オンライン・フォーラムに公開したのが始まりだ。

こうした新しい世代のオンライン犯罪者たちは、アンダー・グラウンドのオンライン・フォーラムで集い、

進化してきた（図1-1）。

日々新作が生まれるマルウエアやオンライン詐欺ツールも、

不良プログラマーや金に困ったソフトウエア・エンジニアが小遣い稼ぎで

オンライン・フォーラムに公開したのが始まりだ。

今では、オンライン犯罪者は情報技術（IT）に詳しい必要さえもない。
ITに詳しい共犯者も簡単に見つかるうえ、
簡単に利用できる便利な“詐欺サービス”が存在しているからである。

今では、オンライン犯罪者は情報技術（IT）に詳しい必要さえもない。

ITに詳しい共犯者も簡単に見つかるうえ、

簡単に利用できる便利な“詐欺サービス”が存在しているからである。

リシッピング詐欺に見る組織化と分業化

不正に入手したクレジット・カード情報を使い、通信販売で購入した高額商品を売却し、
現金化する行為をカーディング詐欺と呼ぶ。
現在では、販売店側の警戒が強まったことで、1人でカーディング詐欺を試みても成功しなくなってきた。
そこで、カーディング詐欺を成功させるために組織化と分業化の発想で編み出されたのがリシッピング詐欺である。

不正に入手したクレジット・カード情報を使い、通信販売で購入した高額商品を売却し、

現金化する行為をカーディング詐欺と呼ぶ。

現在では、販売店側の警戒が強まったことで、1人でカーディング詐欺を試みても成功しなくなってきた。

そこで、カーディング詐欺を成功させるために組織化と分業化の発想で編み出されたのがリシッピング詐欺である。

リシッピング詐欺は、以下の3種類の役割分担の下、図1-2に示すような手口で行われる。

1	リシッピング詐欺は、以下の3種類の役割分担の下、図1-2に示すような手口で行われる。

【スキャマー（詐欺師）】

リシッピング詐欺を取り仕切る犯罪者である。
ミュール（後述）の採用を行い、ミュールから受け取った商品を現金化する。
“もうけ”は、スキャマー本人とカーディング実行者の間で分配する。
カーディング実行者に対して、現金化が可能な商品や特定のブランドをアドバイスしたり、
税関当局に疑われないようにするためのヒントをカーディング実行者に提供したりする。

リシッピング詐欺を取り仕切る犯罪者である。

ミュール（後述）の採用を行い、ミュールから受け取った商品を現金化する。

“もうけ”は、スキャマー本人とカーディング実行者の間で分配する。

カーディング実行者に対して、現金化が可能な商品や特定のブランドをアドバイスしたり、

税関当局に疑われないようにするためのヒントをカーディング実行者に提供したりする。

【ミュール】

商品の受け取りと転送を担当する。
ただし、本人はただの配送業務と伝えられていて、犯罪行為だとは認識していない。
ちなみにミュールとは「ロバ」のことで、詐欺師にだまされ、犯罪の片棒を担がされていることに気づかない様子からこう呼ばれる。
ほかの手口の詐欺において詐取した現金の振込先口座を提供するのもミュールである。

商品の受け取りと転送を担当する。

ただし、本人はただの配送業務と伝えられていて、犯罪行為だとは認識していない。

ちなみにミュールとは「ロバ」のことで、詐欺師にだまされ、犯罪の片棒を担がされていることに気づかない様子からこう呼ばれる。

ほかの手口の詐欺において詐取した現金の振込先口座を提供するのもミュールである。

【カーディング実行者】

不正に入手したクレジット・カード情報を使って、通販事業者に対しカーディング詐欺を実施する者である。
ミュールへの報酬などの経費をスキャマーに対して支払う必要がある。
カーディング詐欺によって購入した商品が売れた（現金化できた）場合に限って利益を手にできる。

不正に入手したクレジット・カード情報を使って、通販事業者に対しカーディング詐欺を実施する者である。

ミュールへの報酬などの経費をスキャマーに対して支払う必要がある。

カーディング詐欺によって購入した商品が売れた（現金化できた）場合に限って利益を手にできる。

たいていの詐欺師は、欧米の著名な通販事業者が商品の販売をためらう様な、
特定の国や地域に居住している。
そこで、受け取り役としてのミュールが必要になる。
つまり、リシッピング詐欺が成功するかどうかはミュールが握っていることになる。

たいていの詐欺師は、欧米の著名な通販事業者が商品の販売をためらう様な、

特定の国や地域に居住している。

そこで、受け取り役としてのミュールが必要になる。

つまり、リシッピング詐欺が成功するかどうかはミュールが握っていることになる。

詐欺スキームの提供者であるスキャマーは、だまして手に入れた商品を持ち逃げしない、
疑うことを知らないミュールをあらかじめ用意しておくため、
わざわざ一般の物流企業を装ったWebサイトを持ち、もっともらしい採用活動を行っている（図1-3）。

詐欺スキームの提供者であるスキャマーは、だまして手に入れた商品を持ち逃げしない、

疑うことを知らないミュールをあらかじめ用意しておくため、

わざわざ一般の物流企業を装ったWebサイトを持ち、もっともらしい採用活動を行っている（図1-3）。

組織化／分業化するオンライン詐欺の最新事例

世界最大のオンライン犯罪集団「Rock Phish」

組織化／分業化のテクニックを積極的に取り入れた新世代のオンライン犯罪組織の代表格が、Rock Phish団である。
同組織は2004年から世界の金融機関を狙ってフィッシング攻撃をしかけてきた。
2007年以降、Rock Phish団による攻撃は世界全体のフィッシング攻撃の約半数を占め、
銀行口座からの数千万ドルに及ぶ盗難被害にかかわっていると見られている。

組織化／分業化のテクニックを積極的に取り入れた新世代のオンライン犯罪組織の代表格が、Rock Phish団である。

同組織は2004年から世界の金融機関を狙ってフィッシング攻撃をしかけてきた。

2007年以降、Rock Phish団による攻撃は世界全体のフィッシング攻撃の約半数を占め、

銀行口座からの数千万ドルに及ぶ盗難被害にかかわっていると見られている。

Rock Phish団の特徴は、先進性と合理性にある。
2008年半ば、Rock Phish団はそれまでの古く単純なネットワークを、
高度に先進的なfast-flux型のボットネットに置き換えた。
さらに、もう1つ新たなボットネットも短期間で構築している。
また、彼らは標的を絞った合理的な攻撃を旨としており、限られた種類のブランドをかたった
フィッシング攻撃をしつこく繰り返したり、預金額の多い法人の口座を攻撃する傾向が強い。

Rock Phish団の特徴は、先進性と合理性にある。

2008年半ば、Rock Phish団はそれまでの古く単純なネットワークを、

高度に先進的なfast-flux型のボットネットに置き換えた。

さらに、もう1つ新たなボットネットも短期間で構築している。

また、彼らは標的を絞った合理的な攻撃を旨としており、限られた種類のブランドをかたった

フィッシング攻撃をしつこく繰り返したり、預金額の多い法人の口座を攻撃する傾向が強い。

サービスとして提供されるオンライン詐欺「Fraud-as-a Service」（FaaS）

急速に組織化と分業化が進んだオンライン詐欺業界では、
“Fraud as a service”（サービスとしての詐欺）というコンセプトも急速に浸透した。
すでに、アンダー・グラウンド世界の詐欺師たちの間では、
さまざまな“サービス指向”の詐欺ツール・キットが販売されており、
文字通りのサービスとしても提供されている。

急速に組織化と分業化が進んだオンライン詐欺業界では、

“Fraud as a service”（サービスとしての詐欺）というコンセプトも急速に浸透した。

すでに、アンダー・グラウンド世界の詐欺師たちの間では、

さまざまな“サービス指向”の詐欺ツール・キットが販売されており、

文字通りのサービスとしても提供されている。

時間貸しのボットネット

図2に示すような、トロイの木馬を使ったオンライン詐欺攻撃のインフラとして、
ボットネットを時間で借りられる時代になっている。
こうしたボットネットを使うことで、攻撃者は自分の望むトロイの木馬を世の中に広め、
それに感染した標的に対して自身が希望する攻撃をしかけることができる。
盗み出した情報はドロップと呼ばれるサーバーにアクセスすることで手に入る。

図2に示すような、トロイの木馬を使ったオンライン詐欺攻撃のインフラとして、

ボットネットを時間で借りられる時代になっている。

こうしたボットネットを使うことで、攻撃者は自分の望むトロイの木馬を世の中に広め、

それに感染した標的に対して自身が希望する攻撃をしかけることができる。

盗み出した情報はドロップと呼ばれるサーバーにアクセスすることで手に入る。

ボットネットには、普通にホスティング・サービスを利用した場合と比べて、以下のようなメリットがある。

1	ボットネットには、普通にホスティング・サービスを利用した場合と比べて、以下のようなメリットがある。

・捜査当局が個々のボットをつきとめても、犯罪者につながる証拠がないので身元がばれにくい

・サイトが閉鎖されても、ほかのボットに乗り換えることで、攻撃を短期間のうちに再開しやすい

多層防御でオンラインサービスを詐欺師から守る

オンライン犯罪者が高度に組織化／分業化して攻撃をしかけてくる今日、
犯罪の撲滅は極めて困難である。そこで、インターネットとオンライン・サービスの安全を保つために、
司法当局はもちろん、サービス事業者やインフラ事業者、セキュリティ・ベンダーなどが国際的に協力して、対策に取り組んでいる。

オンライン犯罪者が高度に組織化／分業化して攻撃をしかけてくる今日、

犯罪の撲滅は極めて困難である。そこで、インターネットとオンライン・サービスの安全を保つために、

司法当局はもちろん、サービス事業者やインフラ事業者、セキュリティ・ベンダーなどが国際的に協力して、対策に取り組んでいる。

その取り組みを一言で表現したコンセプトが「多層防御による脅威の緩和」である。
唯一万能の対策が事実上不可能である以上、さまざまな対策を多階層で採用することで、
被害を最小限に食い止めるという考え方である。現在多く採用されている対策をいくつか紹介する。

その取り組みを一言で表現したコンセプトが「多層防御による脅威の緩和」である。

唯一万能の対策が事実上不可能である以上、さまざまな対策を多階層で採用することで、

被害を最小限に食い止めるという考え方である。現在多く採用されている対策をいくつか紹介する。

強力な認証（1）ワン・タイム・パスワード

ユーザーIDと固定パスワードだけを使った認証は、ひとたび犯罪者に伝われば、知らぬ間にいいように使われてしまう。
これを回避する方法がワン・タイム・パスワードである。
たとえ入力したパスワードが詐欺師に分かっても、次回の認証には利用できない。

ユーザーIDと固定パスワードだけを使った認証は、ひとたび犯罪者に伝われば、知らぬ間にいいように使われてしまう。

これを回避する方法がワン・タイム・パスワードである。

たとえ入力したパスワードが詐欺師に分かっても、次回の認証には利用できない。

典型的なワン・タイム・パスワードは、固定パスワードの代わりに、
パスワード生成機が生成する1分ごとに代わる使い捨てパスワードと、
PIN（暗証番号）の2つを用いて認証する方式であり、2要素認証と呼ばれている。

典型的なワン・タイム・パスワードは、固定パスワードの代わりに、

パスワード生成機が生成する1分ごとに代わる使い捨てパスワードと、

PIN（暗証番号）の2つを用いて認証する方式であり、2要素認証と呼ばれている。

すでに海外では、金融機関に対し2要素以上の認証方式を採用することが事実上義務づけられているが、
このワン・タイム・パスワードは、国内でも三井住友銀行をはじめ多くの銀行のオンライン・バンキングで採用されている。

1 2	すでに海外では、金融機関に対し2要素以上の認証方式を採用することが事実上義務づけられているが、このワン・タイム・パスワードは、国内でも三井住友銀行をはじめ多くの銀行のオンライン・バンキングで採用されている。

強力な認証（2）リスクベース認証

リスクベース認証とは、認証を求めるユーザーのアクセス元IPアドレスや使用ブラウザ関連の情報など、
ネットワークを介して伝わるさまざまな情報に基づいて、
そのアクセスが正規ユーザーからのアクセスであるかどうかのリスク判定を行い、
その判定結果に基づいて認証強度を動的に調整する技術である。

リスクベース認証とは、認証を求めるユーザーのアクセス元IPアドレスや使用ブラウザ関連の情報など、

ネットワークを介して伝わるさまざまな情報に基づいて、

そのアクセスが正規ユーザーからのアクセスであるかどうかのリスク判定を行い、

その判定結果に基づいて認証強度を動的に調整する技術である。

いつもの場所、いつもの端末からのアクセスであれば、固定パスワード認証などの通常の認証だけですませ、
そうでなければ追加認証を行うという考え方である。この技術は、国内ではみずほ銀行が採用している。

1 2	いつもの場所、いつもの端末からのアクセスであれば、固定パスワード認証などの通常の認証だけですませ、そうでなければ追加認証を行うという考え方である。この技術は、国内ではみずほ銀行が採用している。

不正なトランザクションの検出

認証を終えた後でセッションがハイジャックされる（乗っ取られる）可能性に備えて、
トランザクションを常時監視し、不正を検出する技術も実用化されている。

1 2	認証を終えた後でセッションがハイジャックされる（乗っ取られる）可能性に備えて、トランザクションを常時監視し、不正を検出する技術も実用化されている。

トランザクションの成立時に、リスクベース認証と同様にアクセス状況やトランザクション取引内容の確認を行い、
（振込先口座が異なるなど）通常の取引と比べて異常なトランザクションを検出した場合に、
取引を保留する。電話でユーザー本人に直接確認を行う、などの追加認証をかけることで、
不正なトランザクションの実施を防止する。

トランザクションの成立時に、リスクベース認証と同様にアクセス状況やトランザクション取引内容の確認を行い、

（振込先口座が異なるなど）通常の取引と比べて異常なトランザクションを検出した場合に、

取引を保留する。電話でユーザー本人に直接確認を行う、などの追加認証をかけることで、

不正なトランザクションの実施を防止する。

フィッシング・サイトの閉鎖

フィッシング攻撃の被害を軽減するには、フィッシング攻撃が確認され次第、
フィッシング・サイトを無効化させることが重要である。
RSAセキュリティでは、フィッシング・サイトを無効化（閉鎖）させるサービスを提供している。
これは、セキュリティ・ベンダー、ネットワーク機器ベンダー、ISP（プロバイダ）、
ホスティング事業者との協力関係により実現している（図3-1）。

フィッシング攻撃の被害を軽減するには、フィッシング攻撃が確認され次第、

フィッシング・サイトを無効化させることが重要である。

RSAセキュリティでは、フィッシング・サイトを無効化（閉鎖）させるサービスを提供している。

これは、セキュリティ・ベンダー、ネットワーク機器ベンダー、ISP（プロバイダ）、

ホスティング事業者との協力関係により実現している（図3-1）。

具体的には、24時間365日体制でフィッシング・メールやフィッシング・サイトの存在の監視を行い、
フィッシング・サイトの存在が確認されると、攻撃に使われているドメイン名やIPアドレスを確認し、
関係のあるISPやホスティング事業者に連絡を取り、
フィッシング・サイトを速やかにネットワークから切断するよう要請する。
また、フィッシング攻撃に関係したドメイン名やIPアドレスをフィルタリング・リストに加えるよう、ファイア・ウォール・ベンダーに働きかける。

具体的には、24時間365日体制でフィッシング・メールやフィッシング・サイトの存在の監視を行い、

フィッシング・サイトの存在が確認されると、攻撃に使われているドメイン名やIPアドレスを確認し、

関係のあるISPやホスティング事業者に連絡を取り、

フィッシング・サイトを速やかにネットワークから切断するよう要請する。

また、フィッシング攻撃に関係したドメイン名やIPアドレスをフィルタリング・リストに加えるよう、ファイア・ウォール・ベンダーに働きかける。

この取り組みによって閉鎖されたフィッシング・サイトの数は、すでに22万件を超えている。
閉鎖までの平均時間も、同サービスを使っていない場合に数日かかるのに対して、同サービスを使うと数時間へと短縮される。
このサービスは、欧米の金融機関に加え、国内でも銀行／証券会社／信販会社など32社が採用している。

この取り組みによって閉鎖されたフィッシング・サイトの数は、すでに22万件を超えている。

閉鎖までの平均時間も、同サービスを使っていない場合に数日かかるのに対して、同サービスを使うと数時間へと短縮される。

このサービスは、欧米の金融機関に加え、国内でも銀行／証券会社／信販会社など32社が採用している。

トロイの木馬対策

RSAセキュリティは、トロイの木馬による被害の軽減にも取り組んでいる（図3-2）。
フィッシング対策と同様に、トロイの木馬の感染元サイトの閉鎖を実施するのに加え、
さらにトロイの木馬の検体を解析することにより、
トロイの木馬に対するアップデートや指令を実施するコマンド・コントロール・サーバー、
トロイの木馬から送出される個人情報の送信先となるドロップ・サーバーを割り出し、サイトの監視および閉鎖を実施する。

RSAセキュリティは、トロイの木馬による被害の軽減にも取り組んでいる（図3-2）。

フィッシング対策と同様に、トロイの木馬の感染元サイトの閉鎖を実施するのに加え、

さらにトロイの木馬の検体を解析することにより、

トロイの木馬に対するアップデートや指令を実施するコマンド・コントロール・サーバー、

トロイの木馬から送出される個人情報の送信先となるドロップ・サーバーを割り出し、サイトの監視および閉鎖を実施する。

ただし、フィッシング・サイトが閉鎖されれば脅威を取り除けるフィッシング攻撃と異なり、
トロイの木馬の場合は個々人のPCに感染したトロイの木馬が除去されない限り、
脅威を完全に取り除くことはできない。
そこで、盗まれた個人情報が確認された場合には、サービス事業者に対し報告する。
個人情報が盗まれたユーザーをサービス事業者が把握することで、
関係する口座やクレジット・カードを一時的に利用停止にできる。

ただし、フィッシング・サイトが閉鎖されれば脅威を取り除けるフィッシング攻撃と異なり、

トロイの木馬の場合は個々人のPCに感染したトロイの木馬が除去されない限り、

脅威を完全に取り除くことはできない。

そこで、盗まれた個人情報が確認された場合には、サービス事業者に対し報告する。

個人情報が盗まれたユーザーをサービス事業者が把握することで、

関係する口座やクレジット・カードを一時的に利用停止にできる。

この対策は、先ごろ三井住友銀行が国内では初めて採用した。

1	この対策は、先ごろ三井住友銀行が国内では初めて採用した。

まとめ

最後に、あらためて現在のオンライン詐欺犯罪の特徴を3点挙げる。

1	最後に、あらためて現在のオンライン詐欺犯罪の特徴を3点挙げる。

（1）犯罪者たちの目的が金銭的な利得に集中している

（2）犯罪者たちの考え方が合理的／効率的になり、技術的にも洗練されてきている

（3）専門的な知識や多額の資金がなくても、必要な協力者や道具が簡単に手に入りやすい環境、つまりオンライン詐欺をやりやすい環境が整ってきている

金融機関のオンライン・サービスに関しては、セキュリティ保護のための対策整備が整ってきている。
一方、オンライン犯罪者は、新たな攻撃対象としてオンライン・ゲームのゲーム内通貨や
オークション参加用のアカウントなどを標的にし始めている。

金融機関のオンライン・サービスに関しては、セキュリティ保護のための対策整備が整ってきている。

一方、オンライン犯罪者は、新たな攻撃対象としてオンライン・ゲームのゲーム内通貨や

オークション参加用のアカウントなどを標的にし始めている。

サービス事業者もさまざまな対策を講じているが、エンドユーザーも、以下のような自衛策を講じるべきである。

1	サービス事業者もさまざまな対策を講じているが、エンドユーザーも、以下のような自衛策を講じるべきである。

・自身のPCのOSやWebブラウザを最新のものに更新する

・セキュリティ対策ソフトを導入する

・トロイの木馬に感染したり、フィッシング詐欺に引っかからないように、不審なメールやWebサイトに注意する

・オンライン・サービスを選択する際、サービス事業者の「顧客の安全を守るための取り組み」を考慮する

RSAセキュリティでは、オンライン犯罪に関する最新情報を定期的に紹介しているので、興味を持たれたようなら、そちらもご参照願いたい。

1	RSAセキュリティでは、オンライン犯罪に関する最新情報を定期的に紹介しているので、興味を持たれたようなら、そちらもご参照願いたい。

図解がわかりやすいので、
もしこれからオンライン犯罪とセキュリティ対策について調べようと思う方には
参考になるかも。

元ネタはこちら。
http://thinkit.jp/article/1077/1/

組織化するオンライン犯罪集団とセキュリティ対策の現状