人気のタグ
おすすめのサイト
企業ニュース
2016.06.21

不正侵入で入手したサーバー情報を売買するフォーラム「xDedic」の実態

Kaspersky Labの調査分析チーム(GReAT)は、欧州のインターネットサービスプロバイダー(ISP)と協力し、不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」の実態を調査した。その結果、2016年5月の時点で、416の売り手による7万624台のリモートデスクトッププロトコル(RDP)サーバーの情報が販売リストにあることが判明。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされている。

dedicblog_eng_1

xDedicはロシア語話者のグループによって運営されているものとみられ、2014年から活動を開始し、2015年中盤から急速にサイバー犯罪者の間で広まった。フォーラムで売買されているサーバー情報の多くは、人気のある消費者向けのWebサイトやサービスのホスティング、もしくはそのようなWebサイトへの接続を提供している。中には、ダイレクトメール、財務会計や販売時点情報管理(POS)処理のためのソフトウェアがインストールされているサーバーも含まれている。これらのサーバーは、所有している組織自体を標的とした攻撃や、ほかの攻撃の踏み台として悪用される可能性があるが、所有者である政府機関、企業や大学はその事実にほとんど気づいていない。

欧州のISPから連絡を受けたことで始まった、この調査で明るみになったxDedicの運営方法は、単純でありながらも隙が無いことがわかった。xDedicは会員制のフォーラムで、パートナーと呼ばれる「売り手」は、総当り攻撃(ブルートフォースアタック)などによって窃取したサーバーの認証情報をxDedic上に登録する。xDedicでは「買い手」が購入時に検討する可能性がある情報を自動で調べるためのツールが提供されており、「売り手」はそのツールを使ってサーバーのRDPの構成やメモリーサイズ、インストールされているソフトウェア、Webサイトの閲覧履歴などの詳細な情報をxDedicへ送信することで販売リストに登録される。リストには次のようなサーバーが確認されている。

・政府機関ネットワーク、企業、大学が所有するサーバー
・ゲーム、賭博、出合い系、オンラインショッピング、オンラインバンキングおよびオンライン決済、携帯電話ネットワーク、ISPやブラウザーなど、特定のWebサイトやサービスへのアクセスを持つか、これらのサイトをホストするようにタグ付けされたサーバー
・ダイレクトメール、財務会計やPOSソフトウェアなど、攻撃に役立つ可能性があるソフトウェアが予めインストールされているサーバー

フォーラムの会員は、最低価格1台あたり6ドルで、そのサーバーのあらゆるデータにアクセスすることができ、標的型攻撃、マルウェア感染、DDoS、フィッシング、ソーシャルエンジニアリング、アドウェア攻撃など、ほかの攻撃を仕掛けるための踏み台としても利用できる。サーバーの正規の所有者は不正侵入に気づいていない場合がほとんどで、攻撃者は犯罪活動を終えた後、そのサーバーを再び売りに出すこともできる。

xDedicは、新たなタイプのサイバー犯罪市場を象徴しているといえる。巧妙な運営の仕組みに加えて購入時のサポートも手厚く、サイバー犯罪の初心者からAPTグループまでが、短期間、低コストで容易に正規組織のインフラへのアクセス手段を得ることが可能。xDedicの運営グループは、取引の場を提供しているだけで、売り手とのつながりや提携はないと主張している。

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2019年6月14日(金) 発売

DIME最新号の特別付録は「メンズ美的ビューティーボックス」!  特集は「2019年上半期ヒット商品大研究」「NEW渋谷の全貌」etc.

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。