SCAN DISPATCH :Cyber Crime USA、米国にあった犯罪ISPの全貌 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

SCAN DISPATCH :Cyber Crime USA、米国にあった犯罪ISPの全貌

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 スパム、オンライン詐欺、アイデンティティ盗難、マルウエア、偽オンライン薬局や海賊品の販売などの違法ビジネスを行うサーバを多数ホストし、事実上それらを「専門」にしているISPは「サイバー犯罪ISP」と呼ばれる。サイバー犯罪ISPは、ロシアや中国にその大手が存在することが知られていたが、なんと、アメリカにも存在し、長い間、堂々と運営されていることが分かった。「Atrivo - Cyber Crime USA」というホワイトペーパーが、その仔細を暴露している。ISPは、Atrivoと言う名前だ。

 Atrivoの行動は、米国の関係者間では公然の秘密であったが、その全貌が明らかになったのは今回が初めて。「Atrivo - Cyber Crime USA」は、StopBadware、 Emerging Threats、 Knujon、 Sunbelt、 CastleCops、 Spamhausなどの協力を得て書かれた。ドメイン登録会社や多数のサーバ、スポンサーまでを含めた複雑なビジネス形態を、事実をもとに一つ一つ立証しており、Atrivoを中核にした犯罪組織としての規模の大きさには、驚きの声が上がっている。

 このホワイトペーパーを書いたのはサイバー犯罪の研究者であり、RBN (Russian Business Network)の研究で名高いJart Armin氏。今回、Armin氏へメールインタビューを行ったので紹介しよう。

 Armin氏は、RBNのリサーチでAtrivoの存在に気がついており、「偽のアンチウイルスツールと偽のCodecsサイトは、ほぼすべてAtrivoが関連していることが分かっており、(URLを常に変更する)こうしたサイトを一つ一つ報告するよりも、事件の”元”を報告する必要がある」と考え、ホワイトペーパーを書いたそうだ。

 Atrivoはこの犯罪組織の中核となっているISPだが、図のように多数の団体が複雑な関連を保ちながら、組織として運営されている。

図:
https://www.netsecurity.ne.jp/images/article/atrivo_map.jpg

 まず、核となるAtrivoだが、普通のISPがマルウエアが潜んでいるWebサイトをホストしている割合は通常0.01%前後だが、Stopbadware.orgの統計によると、Atrivoではこの割合が常に3%(1,000のIPアドレス)を上回っている。通常のISPの300倍ということである。ひどい月になると6%(2,000以上のIPアドレス)を超えている。マルウエア・サイトの割合で統計をとると、中国のCNNIC-GIANT ZhengZhou GIANT Computer Network Technology Co., Ltd、フランスのINETWORK-AS IEUROP AS、中国のCMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.に次ぐ世界4位のサイバー犯罪ISPだ。

 Atrivoを使ってマルウエア・サイトをホストしているのは、Intercage、Inhoster、Cernal、Hostfresh、Bandcon、Broadwingなどのサーバやホストだ。この中でも97%のトラフィックを司っているのはIntercageで、AtrivoだけでなくIntercageも犯罪組織の中核に存在すると言えるだろう。報道によっては、「Atrivoの別名がIntercageである」と書いてあるものもあり、2社の繋がりは深いようだ。

 こうしたWebサイトの運営を可能とするのは、匿名サービスの数々。EstDomains (匿名ドメイン登録サービス)、 EstHost (匿名ホスティング・サービス)、 PrivacyProtect (匿名ドメイン登録サービス)、 LogicBoxes (ホスティング・サービス)などの名前が、ホワイトペーパーでは指摘されている。去年10月のSunbelt社の調査によると、偽Codecs Webページの100%がEstDomainを使って登録されており、またURIBLの今年8月の調査によれば、76%のスパムが、EstDomainを使って登録されたサーバから発信されている。その他、Directi社関連企業のPDR(Public Domain Registry社)は、KnujOnの調査より、偽オンライン薬局、海賊品を取り扱うWebサイトに利用されている数で世界9位だと指摘している。同じくDirecti社のLogic Boxesは、企業案内のページに「Stargate, CI Host, EST Domains, ResellerClub,Expert Hostなどの、50を超えるICANN認証済のドメイン登録企業のインフラとソフトウエアを支えている」と書いており、取引のあったことを公に認めている。(注:記事執筆時では、LogicBoxesの企業案内ページではEST Domainsの名前は削除されており、「Stargate, CI Host, ResellerClub, Expert Host」が例として使われている)

 Atrivoに対しての苦情は昔から多く、Armin氏によれば「過去5年間、多数の苦情が(Atrivoに)寄せられており、FBIが関係者に事情聴取をしたとも耳にしている」そうだ。が、AtrivoやIntercage自体は犯罪行為を行っていないため、こうした大規模なサイバー犯罪ISPが取り潰されることはない。The ACM (Association of Computing Machinery) Code of Ethics and Professional Conductでは「スパムやマルウエアサイトを発見した場合は対処する」という倫理規定があり、普通のISPはマルウエア・サイトと分かり次第、そのIPを停止する。しかしAtrivoもIntercageも、ホストしているIPがマルウエアサイトだという事実を知りながら、見て見ぬふりをする、つまり、倫理規定に従っていないことは明らかだが、それだけでは犯罪行為にならない。そのため「誰も何もできない、という認識が普通だった」(Armin氏)。

 が、そうした認識に変化が出てきた…

【執筆:米国 笠原利香】

【関連リンク】
Atrivo - Cyber Crime USA White Paper
http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf
The Register記事
http://www.theregister.co.uk/2008/09/22/intercage_goes_dark/
Betanews
http://www.betanews.com/article/UnitedLayer_COO_Giving_access_to_InterCage_is_an_issue_of_ethics/1222396858
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×