ソーシャルメディア犯罪の変革 - rsa.com...3...
TRANSCRIPT
1
ホワイトペーパー
ソーシャルメディア犯罪の変革
新しいプラットフォームがサイバー犯罪の拠点に
2
ソーシャルメディアのプラットフォームは、ここ 10 年間で急成長しているテクノロジー分野であることは誰もが知る
ところです。ソーシャルメディアに休止時間はありません。スマホのようなデバイスでも使えるようになり、ますます
日々の生活で欠かせないものとなっています。
RSAは 2016年に「Hiding in Plain Sight」という調査を発表し、ソーシャルメディアがサイバー犯罪の活動
を支えるプラットフォームとして浸透しつつあることを発表しました。RSA はその後も観測を続け、犯罪者が様々
なソーシャルプラットフォームを犯罪行動で活用している実態を調査し、ソーシャルメディアの活用を広げ、より新
しいプラットフォームを取り入れていることも発見しました。
ソーシャルメディアでの犯罪グループは、同一の集団として考えることができます。犯罪者はよく、複数のソーシャ
ルネットワークを使ってグループとコンタクト先を告知します。1回のコミュニケーションで 2つ以上のプラットフォーム
を次々に使います。そのうえ、複数のソーシャルメディアグループと共有するコンテンツは、本質的に同じで、犯罪
者の評判を高めたり、露出回数を増やすのが主目的です。
多くの犯罪者が、ソーシャルメディアを地下活動へのゲートウェイとして活用しています。そして広告を通じて犯罪
フォーラムにたどり着けます。ある国では犯罪者はコミュニケーション用のメインのプラットフォームとして使っています。
それは他の国々でダークネットフォーラムを使っているのと同じです。
RSA の FraudAction Intelligence チームは、金融分野の犯罪に関わる数千以上ものアカウントやグルー
プをモニターし続けています。その過程で、犯罪の成功を示すスクリーンショット、ミュール口座、盗んだクレジット
カードを使った物品購入をはじめ、現金化の手法、犯罪ツールや犯罪技法などを発見しています。
このレポートでは、RSA が犯罪者に人気が高いソーシャルメディアプラットフォームを概説し、犯罪者を引き付け
ている利点や具体的な特徴を解説します。
Facebook は人気ナンバー1 のソーシャルメディアとなりました。利用者は 1 億人以上、ソーシャルメディアネットワー
クのスタンダードとも言えます。
膨大な数の多様な Facebook 利用者がおり、犯罪者にとっても活動に不可欠なメディアであり、最も頼れるプラッ
トフォームになっています。 RSA が「Hiding in Plain Sight」を 2016年に発表してから、Facebook をベースに
する犯罪グループは増加しており、アカウント数もうなぎのぼりに増えています。名のある犯罪グループのいくつかには、
何万人ものメンバーを持つグループもあります。
多くの犯罪グループが Facebookのマーケットプレイス機能を、犯罪絡みの物品やサービスを取引するための便利な
3
プラットフォームとして長い間、活用しています。
他のソーシャルメディアと同様、Facebook はストーリーズ機能を持っており、犯罪者は良く活用しています。ストー
リーズ以外にも、Instagram と Snapchat が使われており、両者はこれらの機能と深く関係しています。
図 1(左):Facebook を使っている犯罪グループのマーケットプレイス
図 2(右):犯罪者によるストーリーズ
ICQ
ICQは、犯罪者に最も使われている人気プラットフォームです。実際に、犯罪サイトの多くでレジストレーションに ICQ
のアカウントナンバーが求められるほどです。
4
ICQ は、犯罪者が長年にわたってピアツーピア通信とライブコールとして利用してきたコミュニケーションプラットフォーム
です。従来より犯罪者は、メンバーを少しずつ増やしながらグループを形成してきました。現在では犯罪グループは無
数にあり、ICQはグループの人数を規制しないことから、数千ものメンバーを持つグループも見受けられます。
図 3: ICQ の犯罪グループ
WhatsAppは広く利用されているメッセージングアプリです。2014年に Facebookに買収され、2017年には 10
億人を超えるユーザーを持つようになり、犯罪者の間でも世界的に人気があります。
WhatsApp ならば、インスタントピアツーピアメッセージングに加えて、情報を一瞬で多くの人々に届けることができま
す。WhatsApp では、グループのメンバー数は最大 256 と決まっています。そのため犯罪グループの数はたくさん存
在します。有名なグループはとても排他的で、グループ内での活動が活発でない場合、速やかに削除されます。
5
図 4:WhatsApp の犯罪グループ
WhatsApp がエンドツーエンドの暗号化を採用したことは犯罪者にとって好都合でした。犯罪ビジネスがより安全に
なると考えたからです。
TELEGRAPH
多くの犯罪者が利用者の多さで WhatsApp を好んで使いますが、そうでない犯罪者もいます。彼らは、自身のアイ
デンティティが安全に保たれることを優先し、Telegraph を使います。犯罪コミュニティは Telegraph を安全と見な
しているのです。
Telegram を選ぶ第一の理由は、Supergroup タイプのグループであれば 10 万までメンバーが増やせることです。
Channel タイプのグループは、アドミンがメッセージを人数に制限なく配信できます。
6
図 5:Telegram上で、ネット詐欺のディスカッションをしているグループ
図 6:メガホンのアイコンがおかれた Telegram の犯罪「チャネル」グループ。
7
Instagram は、写真や動画の投稿、共有アプリケーションです。イメージや動画は、公開、非公開で事前承認し
たユーザーだけと共有できます。Instagram を使う犯罪者は、お互いをフォローしあい、フォーラムグループよりもプラ
イベートチャットを好んでいます。
このプラットフォームは、犯罪者自身の製品やサービスを宣伝するために使われています。eコマースサイトで違法に購
入した商品の注文履歴や、ハッキングされた銀行口座のスクリーンショットなどが自慢げに投稿されています。
Instagram のストーリー機能は、画像や動画を 24 時間という一定期間だけ共有することができます。この機能は
犯罪者にうけており、広告に潜んでいるかもしれないチャンスを見逃したくないと思う犯罪者の心理を掴むインチキ広
告を作り出しています。
Instagram は最近、新しい機能を加えました。投稿された写真や動画が見られたらすぐに消去する機能です。
図 7(左):犯罪者が Instagram に支払サービス詐欺の広告を出している。コンタクト先として ICQ のアカウン
ト番号を残している。
図 8(右):犯罪者が Instagram のストーリーで不法購入した物品の注文履歴を公開している
8
SNAPCHAT
Snapchatも画像のメッセージングアプリでストーリー機能があります。画像や動画は、開封後 10秒以内に自動消
滅することで知られています。ICQやWhatsApp などの他 SNS アプリでも、開いた後に削除することもできますが、
Snapchat は、自動的にすべてのメッセージが消去されます。ユーザーには、投稿内容のスクリーションショットを誰が
撮ったかも通知されます。
Snapchat はエンドツーエンドの暗号化はされていませんが、このような機能があれば秘密裡にコミュニケーションが取
れます。
犯罪者はSnapchatが32人までの少人数グループをサポートしていることがお気に入りのようでピアツーピアメッセー
ジ通信として使っています。犯罪者はプライベートな会話をするためにしばしば Snapchat IDを Facebookに投稿
します。
図 9(左):Facebook で自分の商品を掲載し、Snapchat のアカウントを連絡先として投稿している。
図 10(右):Snapchat で公開されたハッキングされた銀行口座のスクリーンショット
9
Reddit は、登録者からの投稿を集めたサイトで、基本的には掲示板サイトです。フォーラムそれぞれに特定のトピッ
クがあり、それらは「サブレディット」と呼ばれます。
Reddit は、犯罪サブレディットとそのアクティブユーザーに対して、犯罪者が通常のコミュニティを維持できなくなるよう
罰則を示しています。しかしそれでも、現在およそ 50 のサブレディットが存在し、犯罪者が詐欺の手法について議論
を交わしたり、パートナーを探したり、知識を共有したりしています。Raddit の使い方は、広告というよりも、犯罪の
実績をスクリーンショットで共有するというものです。
Radditは特に英語を使用する犯罪者が好んでおり、英語圏の国々で人気があります。
図 11:犯罪サブエディットに関する通知。画面面右下に、罰則に関する記述がある。
YOUTUBE
YouTube は、犯罪者の間で最も人気があり、広告やトレーニング動画の投稿に使われています。投稿された動画
は、Google で犯罪用語を検索した結果として表示されるようになっています。加えて、投稿された動画は
YouTube に長期間とどまる傾向があることも、犯罪者は利点と考えています。
クレジットカードチェッカーやスキマーなど犯罪者自身が販売しているアイテムの入門動画は良く見かけます。犯罪者
は、複数のプラットフォームで広告を使い回す傾向があり、YouTube で広告している内容は、具体的に細かく説明
しています。
10
より多くの目に留まるため、犯罪者は犯罪フォーラムに投稿した YouTube の動画にリンクも入れており、逆に、
YouTube で犯罪Web サイトの広告も含めています。
図 12:YouTube に投稿された、クレジットカード詐欺の入門動画のサンプル
TWITTER、LINKEDIN、GOOGLE PLUS ほか
RSA は、犯罪者たちがコミュニケーション用のツールとしてはあまり使う傾向がないものの、Twitter、LinkedIn、
Google Plus上で繰り広げられる複数の犯罪活動も観察しています。
これらのプラットフォームは、犯罪者にとって高い関心を寄せるプラットフォームではないようです。理由はいくつかあり、
たとえばプラットフォーム提供事業者によるモニタリングのポリシー、一般的な人気の度合い、利用法が考えられます。
11
図 13:犯罪者が窃取したクレジットカードと個人情報を Twitter で売りに出している
12
図 14: LinkedIn で観察されたスキマー、盗んだクレジットカード情報、個人情報
13
図 15:Google Plus で観察された Dumps(クレジットカードの磁気ストライプからデータを抽出したもの、ツール
類)
結論
Infraud、AlphaBay Market、 Hansa Market といった大型の犯罪マーケットプレイスが閉鎖されたことや、世
界的規模でソーシャルメディアの人気が高まるなどの理由により、多くの犯罪者は、Facebook はもとより
WhatsApp、 Telegram、 Instagram、 Snapchat をはじめとする多種多様なプラットフォームを犯罪活動の
拠点として活用しています。
どのソーシャルメディアもストーリー機能、暗号化、チャネルグループといったおなじみの機能を持っており、犯罪者がそ
れらをどのように活用するかは、メディアの認知度、評判、自分たちの地域での利用具合、個人的な好みで決まりま
す。
一般的には、犯罪者は幅広く多様な相手にリーチするために、より多くのプラットフォームを使おうとします。犯罪グ
ループの名称は「Trusted Deals(信用ある商談)」のように、ときに一般的です。あるいは犯罪のタイプ名に冠し
て「Swipe University(スワイプ大学)」「Ripper exposer(リッパー露出」のようなグループ名をつけることもあ
ります。
14
興味深い観察もあります。インスタントメッセージングプラットフォームとソーシャルメディアの境界線は、ここ数年ですっ
かり不鮮明になりました。こんにちでは、犯罪者のコミュニケーションや広告は、大きなグループから頻繁に発信され、
数千ものメッセージが日々、共有されています。これらは活気にあふれ、活発な犯罪コミュニティに実り豊かな環境を
もたらしています。RSAは今後も犯罪者の動向をモニターし、レポートしていきます。
©2018 Dell Inc. or its subsidiaries. All rights reserved. RSA and the RSA logo, are registered
trademarks or trademarks of Dell Inc. or its subsidiaries in the United States and other countries.
All other trademarks are the property of their respective owners. RSA believes the information in
this document is accurate. The information is subject to change without notice.
03/18, Whitepaper, H17067.