報道によれば、「オンライン犯罪者がセキュリティ対策や捜査の追及から逃れるために利用する手口」について、RSAセキュリティが解説している。
この図は、RSAセキュリティが3月17日までの調査で解明したネットワーク構成 だ。
RSAセキュリティは3月24日、オンライン犯罪動向などをまとめた月例報告書を公開した。
近年のオンライン犯罪では、オンライン犯罪に必要な手段をサービスとして犯罪者へ提供する悪質な事業者が出現し、不正プログラムの開発代行やツールの販売、ボットネットのレンタル、不正に入手した重要情報の売買代行などがある。
同社が最近発見したのが、「犯罪者の不正プログラムが正規のウイルス対策ソフトに検出されるかをテストしてくれるサービス」だという。
このサービスでは、「20種類以上の正規ウイルス対策ソフトのスキャンエンジンを使って、不正プログラムが検出されるかどうか」を確認できるというものだ。
スキャンエンジンは最短で1時間程度で更新されるため、オンライン犯罪者は最新状態のスキャンエンジンで簡単にチェックできるメリットがある。
同社によれば、「利用料は1ファイル1スキャン当たり15セント~1ドルと安価であり、会員向けの割引もある。また、手動スキャン以外にもテストを自動化できるAPIが用意され、不正プログラムが検出されるようになるとメールやメッセンジャー、チャットなどで犯罪者へ通知する機能もある。」とのことだ。
かつてのオンライン犯罪者は、一般向けのオンラインスキャンサービスを使って正プログラムが検出されないかを調べていた。
同社では、「スキャンサービスの多くがウイルス対策ベンダーに協力して不正プログラムのテスト利用を通報するようになったため、新手のサービスはオンライン犯罪者が独自に構築した可能性がある。」と指摘している。
また、同社では、オンライン犯罪組織が構築している複雑なネットワーク構造についても解説。
それによると、最近になって不審な動きをみせる「AS-TROYAK」という犯罪者ネットワークとインターネットを中継するアップストリームプロバイダーの1つを発見した。
調査を進めたところ、AS-TROYAKと同様の機能を持つアップストリームプロバイダーがほかに4つあり、計5つのプロバイダーが犯罪組織のシステム群「Bulletproof Network」と外部のインターネットを中継していた。
「Bulletproof Networkは、不正プログラムの配布やボットネットに指令を出すといったさまざまな役割を果たすサーバ群で構成された自律型ネットワーク。」だという。
「アップストリームプロバイダーには、AS番号が割り当てられているものの、正確な所在を把握するのが難しく、アップストリームプロバイダーとつながったBulletproof Networkの場所を突き止めるのは非常に困難。」だという。
同社が調査したところでは、アップストリームプロバイダーのIPアドレスは東欧や中央アジアなどだったが、詐称されている可能性もあり、正確な所在はつかめていない。
このようなネットワークは冗長化されており、捜査の手を拒む仕組みになっているほか、一部分摘発などによって遮断されても、ネットワーク全体の機能を維持できるようにしているという。
RSAセキュリティは、こうしたオンライン犯罪の手口が従来に比べて高度化している現状を踏まえ、「単一のセキュリティ対策ではシステムやユーザーを保護できず、多層的な対策を講じる必要がある。」と提起している。