SCAN DISPATCH :Cyber Crime USA、米国にあった犯罪ISPの全貌 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

SCAN DISPATCH :Cyber Crime USA、米国にあった犯罪ISPの全貌

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 スパム、オンライン詐欺、アイデンティティ盗難、マルウエア、偽オンライン薬局や海賊品の販売などの違法ビジネスを行うサーバを多数ホストし、事実上それらを「専門」にしているISPは「サイバー犯罪ISP」と呼ばれる。サイバー犯罪ISPは、ロシアや中国にその大手が存在することが知られていたが、なんと、アメリカにも存在し、長い間、堂々と運営されていることが分かった。「Atrivo - Cyber Crime USA」というホワイトペーパーが、その仔細を暴露している。ISPは、Atrivoと言う名前だ。

 Atrivoの行動は、米国の関係者間では公然の秘密であったが、その全貌が明らかになったのは今回が初めて。「Atrivo - Cyber Crime USA」は、StopBadware、 Emerging Threats、 Knujon、 Sunbelt、 CastleCops、 Spamhausなどの協力を得て書かれた。ドメイン登録会社や多数のサーバ、スポンサーまでを含めた複雑なビジネス形態を、事実をもとに一つ一つ立証しており、Atrivoを中核にした犯罪組織としての規模の大きさには、驚きの声が上がっている。

 このホワイトペーパーを書いたのはサイバー犯罪の研究者であり、RBN (Russian Business Network)の研究で名高いJart Armin氏。今回、Armin氏へメールインタビューを行ったので紹介しよう。

 Armin氏は、RBNのリサーチでAtrivoの存在に気がついており、「偽のアンチウイルスツールと偽のCodecsサイトは、ほぼすべてAtrivoが関連していることが分かっており、(URLを常に変更する)こうしたサイトを一つ一つ報告するよりも、事件の”元”を報告する必要がある」と考え、ホワイトペーパーを書いたそうだ。

 Atrivoはこの犯罪組織の中核となっているISPだが、図のように多数の団体が複雑な関連を保ちながら、組織として運営されている。

図:
https://www.netsecurity.ne.jp/images/article/atrivo_map.jpg

 まず、核となるAtrivoだが、普通のISPがマルウエアが潜んでいるWebサイトをホストしている割合は通常0.01%前後だが、Stopbadware.orgの統計によると、Atrivoではこの割合が常に3%(1,000のIPアドレス)を上回っている。通常のISPの300倍ということである。ひどい月になると6%(2,000以上のIPアドレス)を超えている。マルウエア・サイトの割合で統計をとると、中国のCNNIC-GIANT ZhengZhou GIANT Computer Network Technology Co., Ltd、フランスのINETWORK-AS IEUROP AS、中国のCMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.に次ぐ世界4位のサイバー犯罪ISPだ。

 Atrivoを使ってマルウエア・サイトをホストしているのは、Intercage、Inhoster、Cernal、Hostfresh、Bandcon、Broadwingなどのサーバやホストだ。この中でも97%のトラフィックを司っているのはIntercageで、AtrivoだけでなくIntercageも犯罪組織の中核に存在すると言えるだろう。報道によっては、「Atrivoの別名がIntercageである」と書いてあるものもあり、2社の繋がりは深いようだ。

 こうしたWebサイトの運営を可能とするのは、匿名サービスの数々。EstDomains (匿名ドメイン登録サービス)、 EstHost (匿名ホスティング・サービス)、 PrivacyProtect (匿名ドメイン登録サービス)、 LogicBoxes (ホスティング・サービス)などの名前が、ホワイトペーパーでは指摘されている。去年10月のSunbelt社の調査によると、偽Codecs Webページの100%がEstDomainを使って登録されており、またURIBLの今年8月の調査によれば、76%のスパムが、EstDomainを使って登録されたサーバから発信されている。その他、Directi社関連企業のPDR(Public Domain Registry社)は、KnujOnの調査より、偽オンライン薬局、海賊品を取り扱うWebサイトに利用されている数で世界9位だと指摘している。同じくDirecti社のLogic Boxesは、企業案内のページに「Stargate, CI Host, EST Domains, ResellerClub,Expert Hostなどの、50を超えるICANN認証済のドメイン登録企業のインフラとソフトウエアを支えている」と書いており、取引のあったことを公に認めている。(注:記事執筆時では、LogicBoxesの企業案内ページではEST Domainsの名前は削除されており、「Stargate, CI Host, ResellerClub, Expert Host」が例として使われている)

 Atrivoに対しての苦情は昔から多く、Armin氏によれば「過去5年間、多数の苦情が(Atrivoに)寄せられており、FBIが関係者に事情聴取をしたとも耳にしている」そうだ。が、AtrivoやIntercage自体は犯罪行為を行っていないため、こうした大規模なサイバー犯罪ISPが取り潰されることはない。The ACM (Association of Computing Machinery) Code of Ethics and Professional Conductでは「スパムやマルウエアサイトを発見した場合は対処する」という倫理規定があり、普通のISPはマルウエア・サイトと分かり次第、そのIPを停止する。しかしAtrivoもIntercageも、ホストしているIPがマルウエアサイトだという事実を知りながら、見て見ぬふりをする、つまり、倫理規定に従っていないことは明らかだが、それだけでは犯罪行為にならない。そのため「誰も何もできない、という認識が普通だった」(Armin氏)。

 が、そうした認識に変化が出てきた…

【執筆:米国 笠原利香】

【関連リンク】
Atrivo - Cyber Crime USA White Paper
http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf
The Register記事
http://www.theregister.co.uk/2008/09/22/intercage_goes_dark/
Betanews
http://www.betanews.com/article/UnitedLayer_COO_Giving_access_to_InterCage_is_an_issue_of_ethics/1222396858
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

    ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  2. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  3. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. 日本, EU, シンガポール他各国の個人情報保護法令比較、GDPRは

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×