不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」には、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコルサーバーの情報が販売リストにあることがわかりました。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。
[本リリースは、2016年6月15日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labの調査分析チーム(GReAT)※1 は、欧州のインターネットサービスプロバイダー(ISP)と協力し、不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」の実態を調査しました。その結果、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコル(RDP)サーバーの情報が販売リストにあることがわかりました。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。
xDedicはロシア語話者のグループによって運営されているものとみられ、2014年から活動を開始し、2015年中盤から急速にサイバー犯罪者の間で広まりました。フォーラムで売買されているサーバー情報の多くは、人気のある消費者向けのWebサイトやサービスのホスティング、もしくはそのようなWebサイトへの接続を提供しています。中には、ダイレクトメール、財務会計や販売時点情報管理(POS)処理のためのソフトウェアがインストールされているサーバーも含まれています。これらのサーバーは、所有している組織自体を標的とした攻撃や、ほかの攻撃の踏み台として悪用される可能性がありますが、所有者である政府機関、企業や大学はその事実にほとんど気づいていません。
欧州のISPから連絡を受けたことで始まった、この調査で明るみになったxDedicの運営方法は、単純でありながらも隙が無いことがわかりました。xDedicは会員制のフォーラムで、パートナーと呼ばれる「売り手」は、総当り攻撃(ブルートフォースアタック)などによって窃取したサーバーの認証情報をxDedic上に登録します。xDedicでは「買い手」が購入時に検討する可能性がある情報を自動で調べるためのツールが提供されており、「売り手」はそのツールを使ってサーバーのRDPの構成やメモリーサイズ、インストールされているソフトウェア、Webサイトの閲覧履歴などの詳細な情報をxDedicへ送信することで販売リストに登録されます。リストには次のようなサーバーが確認されています。
- 政府機関ネットワーク、企業、大学が所有するサーバー
- ゲーム、賭博、出合い系、オンラインショッピング、オンラインバンキングおよびオンライン決済、携帯電話ネットワーク、ISPやブラウザーなど、特定のWebサイトやサービスへのアクセスを持つか、これらのサイトをホストするようにタグ付けされたサーバー
- ダイレクトメール、財務会計やPoSソフトウェアなど、攻撃に役立つ可能性があるソフトウェアが予めインストールされているサーバー
フォーラムの会員は、最低価格1台あたり6ドルで、そのサーバーのあらゆるデータにアクセスすることができ、標的型攻撃、マルウェア感染、DDoS、フィッシング、ソーシャルエンジニアリング、アドウェア攻撃など、ほかの攻撃を仕掛けるための踏み台としても利用できます。サーバーの正規の所有者は不正侵入に気づいていない場合がほとんどで、攻撃者は犯罪活動を終えた後、そのサーバーを再び売りに出すこともできます。
xDedicは、新たなタイプのサイバー犯罪市場を象徴しているといえます。巧妙な運営の仕組みに加えて購入時のサポートも手厚く、サイバー犯罪の初心者からAPTグループまでが、短期間、低コストで容易に正規組織のインフラへのアクセス手段を得ることができます。xDedicの運営グループは、取引の場を提供しているだけで、売り手とのつながりや提携はないと主張しています。
GReATのディレクター、コスティン・ライウ(Costin Raiu)は次のように述べています。「xDedicは、サービスとしてのサイバー犯罪(cybercrime-as-a-service)が、商用エコシステムや取引プラットフォームの方法を取り入れながら拡大していることを裏付けています。その存在により、破壊的な被害をもたらす可能性のある攻撃に、あらゆる犯罪者が素早く効果的かつローコストで携わることがこれまで以上に容易になっています。最終的には、標的となった個人や組織だけでなく、無防備なサーバーの所有者も被害者になり得ますが、目と鼻の先でサーバーが再び乗っ取られて別の攻撃に悪用されても、まったく気がついていない場合がほとんどです」
このような脅威に対抗するためのアドバイスは次のとおりです。
- ITインフラを保護する包括的な多層防御アプローチの一環として、堅牢なセキュリティソリューションを導入する
- サーバー認証プロセスで、強力なパスワードの使用を義務付ける
- 継続的なパッチ管理プロセスを実施する
- ITインフラの定期的なセキュリティ監査を導入する
- 新たな脅威を継続的に組織内に知らせ、それを犯罪者側の視点でリスクレベルの評価に役立てることができる脅威インテリジェンスサービスへの投資を検討する
xDedicの詳細については、Securelist.comをご覧ください。
※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。