写真●EMCジャパンRSA事業本部事業推進部シニアビジネスデベロップメントマネージャーの花村実氏
写真●EMCジャパンRSA事業本部事業推進部シニアビジネスデベロップメントマネージャーの花村実氏
[画像のクリックで拡大表示]
画面1●クレジットカードを悪用するノウハウをICQチャットでコーチするサービスを提供
画面1●クレジットカードを悪用するノウハウをICQチャットでコーチするサービスを提供
[画像のクリックで拡大表示]
画面2●盗んだクレジットカード情報を自動的にマネタイズするツールがある
画面2●盗んだクレジットカード情報を自動的にマネタイズするツールがある
[画像のクリックで拡大表示]

 EMCジャパンのRSA事業本部は2015年6月29日、2015年下半期で予想される主なサイバー攻撃の動向について説明した。大きく、(1)攻撃を簡素化するツールやサービスが充実して攻撃への敷居が下がってきていること、(2)攻撃の簡素化とも関連するが、効率よくお金を稼ぐ手段としてクレジットカード情報を盗む攻撃が増えていること、(3)パソコンだけでなくスマートフォンを狙った攻撃が増えていること、---を挙げた。

 (1)2015年のサイバー犯罪の動向として同社が真っ先に挙げるのは、「Cybercrime as a Service」(サービスとしての犯罪)である。事業推進部シニアビジネスデベロップメントマネージャーの花村実氏(写真)は、「サイバー犯罪用のツールはここ2年で劇的に進化した」と説明。「昨今のツールは効率よく攻撃できて収益性が高い。ツール同士の競争によって継続的なイノベーションが起こっている」(花村氏)という。

 花村氏は、犯罪者市場で入手可能な攻撃ツールをいくつか紹介した。例えば、盗んだクレジットカード情報をオンライン販売している業者は、クレジットカードを悪用してお金につなげるためのノウハウを初心者にICQチャットでコーチするサービスを1時間当たり100ドルで提供している(画面1)。また、新しいカード情報の入荷情報や、売っているカード情報が100%使えるものであることを保証するキャンペーンなど、様々な方法で販促を図っている。

 VOXIS(ボクシス)は、盗んだカード情報を自動的にマネタイズ(収益につなげる)してくれるツールである(画面2)。カードを使って買い物をする仮想的な店舗を自動的に構築し、決済代行業者経由で買い物をしたかのようにみせかけて、お金を振りこませる仕組み。盗んだクレジットカード情報を読み込み、いついくらの買い物をするかといったスケジュール設定を施すだけで、自動的に不正なカード取引を生成できる。

 ソーシャルエンジニアリングのサービスも購入できる。実際に攻撃対象の人物に電話などをかけて、言葉巧みに情報を聞き出すサービスである。利用料金は10ドルから。DDoS攻撃サービスは、1時間10ドルで利用できる。オンライン銀行のフィッシングサイトを自動生成するツールも入手できる。銀行のURLを入力するだけで、銀行から画像などの素材を一括して取り込んでくれる。