お知らせ

DDOS攻撃の広告: 中国のサイバー犯罪の背景にギャンブル

今年7月から当社では技術提携をしているイスラエル企業のブログを紹介しています。

第5回目となる今回は当社の「脅威インテリジェンスサービス」で技術提携をしているVerint Systems Ltd. のブログ『DDOS攻撃の広告: 中国のサイバー犯罪の背景にギャンブル』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

DDOS攻撃の広告: 中国のサイバー犯罪の背景にギャンブル

Verint Cyber Threat Intelligence Research Team |2020年519

 

禁断の果実 - 中国におけるギャンブル

多くのカードゲームやボードゲームは、古代中国を起源とすると考えられています。これらのゲームにはお金を賭けて行うものもあり、何世紀にもわたって中国の娯楽文化の一つでした。

しかし、1949年に共産党が政権を掌握し、賭博行為を「腐敗した封建的行為」であると宣言したことにより、法によって禁止され、取り締まりの対象となりました。

1970年代後半から1980年代初頭にかけて、中国で改革開放政策が導入されたとき、当局はギャンブルに対する手綱を緩め、一定の理解を示しました。ゲームや棋牌室と呼ばれるカードゲームやボードゲームを行う場が次々と街中に誕生し、仲間内の賭博が盛んになりました。とはいうものの、2つの全国宝くじ(中国スポーツ振興宝くじと中国社会福祉くじ)以外、ギャンブルは依然違法とされ、この2つの全国宝くじが市民の欲求を満たすには至りませんでした。

楽しみにしている娯楽が法律によって禁止されたら?

 

海外のカジノへ

解決策は国外にありました。中国のギャンブラーは世界中のカジノへと出向いて行きました。

香港に行き、競馬賭博に参加しました。また、中国の広東省から国境を挟んだ、旧ポルトガル植民地であるマカオは、2006年以降、中国政府の支援を受けて、ラスベガスを抜いて世界最大のカジノセンターとなりました。

さらには、近年、中国のギャンブル愛好家に注目されている場所があります。フィリピンです。COVID-19の感染拡大前までは、中国のニーズに応えるホスピタリティやエンターテインメント産業が急成長を遂げていました。フィリピンにおける中国人に向けた求人にこの世相が反映されています。その多くは、中国語のアンダーグラウンドフォーラムやQQTelegram上の怪しいギャンブルや詐欺グループ専用フォーラムに掲載されています。過去数年にわたってフィリピンで増え続けるギャンブル関連の犯罪は社会問題となっています。

とはいうものの、海外旅行は、ギャンブルを好む中国人すべてにとって可能な手段ではなく、いつでも気軽にギャンブルを楽しめるというわけではありません。では、海外には行けないがギャンブルを楽しみたい人はどうしているのでしょう。

オンラインギャンブル市場は拡大傾向にあり、COVID-19の感染拡大による外出制限による追い風を受け、この市場の可能性はさらに広がりつつあります。

 

カジノからオンラインギャンブルへ

オンラインギャンブルは過去10年間にわたり、中国のギャンブル人口を支えてきました。当局はオンラインギャンブルを禁止しており、こうしたサイトの多くは国外のサーバー上に構築されています。

オンラインカジノ、ゲームサイト、ギャンブルといった分野は、「文明的で調和のとれた社会」を目指す中国共産党にとっては頭痛の種です。道徳的な問題にとどまらず、オンラインギャンブルによって中国の通貨である元が国外へ流出するという経済成長の妨げにもなっているのです。しかし、中国は、国外で登録・運営されているウェブサイトを取り締まるのに苦労をしています。特に、フィリピンなどのホストサーバーが置かれた国が協力的でない場合は困難を極めます。

 

サイバー犯罪

オンラインギャンブルの市場規模は膨大で、ビジネスとして非常に魅力的であり、多くの人を惹きつけ、競争を激化させています。多くのギャンブル愛好家を招くために、各サイトはさまざまな手法を取り入れています。詐欺行為もその一つです。例えば、マカオの有名なカジノの公式サイトを装う偽のギャンブルサイトです。

さらにはより多くのトラフィックを獲得するために、オンラインギャンブルのサイトは互いに激しく攻撃し合い、その攻撃の武器は皮肉なことにトラフィックなのです。

マカオのザ・ベネチアン・マカオの公式ページを模した中国のオンラインギャンブルのサイト

DDoS攻撃が繰り広げられる世界

中国のハッカーたちは、自分たちの腕を試したくてうずうずしています。1990年代初頭から約10年前まで、愛国精神に溢れたハッキンググループによって実行された国家を背景に持つサイバー活動の多くは、現在、中国のインテリジェンス組織下にあります。そして、才能のある多くのハッカーたちは、簡単にお金儲けができるサイバー犯罪に手を染めているのです。この種のサイバー犯罪の多くは中国国内をターゲットにしています。

よくある手法の1つは、オンラインカジノやオンラインゲームのサイトを侵害し、ユーザーのデータを盗み、ダークウェブで取引したり、指定されたQQTelegramグループに提供したりすることです。

中国におけるサイバー犯罪でよくあるもう1つの手法は、競合他社に対するDDoS攻撃です。ギャンブルサイトをダウンさせ、特定のサイトにユーザーを誘導するのです。

中国のダークウェブで取引するために提供されたギャンブルサイトデータベースのサンプル
中国ハッキングフォーラムに掲載された広告 - テーラーメイドのDDoS攻撃などを提供しますという内容

また、DDoS攻撃はポルノサイトやダークウェブで人気の手法で、お互いにDDoS攻撃を仕掛けています。たとえば、中国のダークウェブ上の最大のオンライン市場では、昨年夏に大規模なDDoS攻撃が発生し、数週間にわたって事業が中断されています。

DDoS攻撃の連鎖

DDoS攻撃の第一歩は、多くのコンピューターや他のオンライン機器を制御し、ボット化させ、膨大なトラフィックを標的となるウェブサイトに流し、サイトダウンを図ります。中国のハッキングコミュニティでは、制御されたコンピュータは「ブロイラー」または「鶏」(肉鸡)と呼ばれています。中国のアンダーグラウンドハッキングコミュニティのメンバーは、これらの「ブロイラー」を検出するためのツール、すなわち、コンピューターやサーバーの脆弱性を検出するスキャナーを提供しています。こうしたツールにより、攻撃者は脆弱な機器に侵入し、トロイの木馬を埋め込んで、遠隔制御が可能になります。中国語では「チケットキャッチャ」(抓鸡)と呼ばれ、ハッカーたちによりフォーラム上で取引されます。

中国のハッキングフォーラムで取引される「ブロイラー検出ツール」

DDoS攻撃者は「ブロイラー」を検出するためのツールを購入するだけでなく、フォーラムや指定されたQQ/Telegramグループで大量取引されている「ブロイラー」を直接購入することもできます。フォーラムやチャットグループのメッセージ数から推測すると「ブロイラー」の需要は非常に高いことがわかっています。

「ブロイラー」市場の上顧客は、DDoS攻撃のサプライヤー(仕掛け屋)になりつつあり、オンラインでカスタマイズされたDDoS攻撃をサービスとして提供しています。攻撃の依頼主はプライベートメッセージを介して攻撃者にコンタクトを取ることができます。攻撃期間と標的とされるウェブサイトの性質に応じて、ターゲットを定義し、価格交渉が行われます。中国のIT大手Tencentが発表した報告書によると、カスタムメイドのDDoS攻撃の連鎖は右の図のようになっています:

サービスとしてのDDoS攻撃の提供
中国のダークネットに掲載されたサービスとしてのDDoS攻撃のオファー

左のスクリーンショットは、著名な中国のダークウェブに掲載されたオファーで、これらのサービスとしてのDDoS攻撃(DDoS as-a-service)取引がどのように実行されているかを読み取ることができます。どのような種類のサイトがターゲットに該当し、どのサイトがターゲット外か、当局が訴訟を起こす恐れがあるかも示しています。

翻訳:

10ドルのデポジット。支払完了で自動的にTelegramでメッセージを送り、サイトの種類によって価格を設定。

参考となる価格は以下の通り。

  • 全く保護されていないサイト - 1時間100
  • 標準的な企業サイトレベルの若干のセキュリティ対策が施されているサイト - 1時間300
  • ギャンブルサイトのような中上級のセキュリティ対策が施されているサイト - 1時間500-1000

攻撃が成功したら差額を支払ってください。ウェブサイトをダウンさせることができなかったらデポジットは返金。

政府関係のサイト、学校や病院、また公共の利益を追求するNPOへの攻撃は対象外。」

サイバー犯罪者の捜索

中国の警察当局は、こうした問題を十分に認識しており、サイバー犯罪者とその活動を追跡しようと躍起になっています。2018年後半に、江蘇省睢寧県の20代の男性が、悪質なコードを埋め込んだことが判明し、ローカルサーバーをリモートで制御できるようになったところで、地元警察によって逮捕されました。捜査の中で依頼を受けてDDoS攻撃を行うために「ブロイラー」を使用していた中国国内の少なくとも20人のハッカー集団の一員であることを認めました。

この集団は100件を超えるDDoS攻撃に関与し、200,000を超えるウェブサイトに被害を与え、1000万元(約1.54億円)を稼ぎ出していました。他のメンバーも中国全域で逮捕されましたが、DDoS攻撃とDDoS as a-Service市場規模を考えれば、これは氷山の一角に過ぎないでしょう。

脅威インテリジェンスのサービスをお探しですか?

私たちが「サイバーセキュリティ」「サイバー攻撃」という単語を耳にしたとき、攻撃者が誰なのか、彼らの動機・目的は何なのかまで考えを巡らす人は多くはないかもしれません。しかし、攻撃者のプロフィールを理解することで、セキュリティへの近道となることもあるのです。

 

日頃から膨大な量のデータを収集・分析しているCTI(サイバー脅威インテリジェンス)の専門家の力を借りて、態勢を整えるのも1つの手段です。

 

SOMPO CYBER SECURITYがイスラエルのVerint Systems Ltd.と技術提携して提供している「脅威インテリジェンスサービス」では、本記事で扱った中国語圏も含めた、ディープウェブやダークウェブ上のさまざまな言語やスラングに精通したアナリストが日々膨大な情報を収集・精査する事で、お客様組織の防衛や意思決定に資する情報をお届けしております。

当社がVerint Systems Ltd.と技術提携して提供している「脅威インテリジェンスサービス」の詳細はこちらまでお問い合わせください。

SOMPOグループは、
お客さまの「安心・安全・健康」に資する
最高品質のサービスをご提供し、
社会に貢献します。

page top

このサイトでは、アクセス状況の把握や広告配信などのためにクッキー(Cookie)を使用しています。このバナーを閉じるか閲覧を継続した場合、クッキーの使用に同意したこととさせていただきます。なお、クッキーの設定や使用の詳細については「個人情報保護について」のページをご覧ください。