メインコンテンツにスキップする

Kaspersky Lab、ハッキングされたサーバー70,000台以上のアクセス情報が取引される闇フォーラム、「xDedic」の実態を調査

2016年6月16日

不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」には、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコルサーバーの情報が販売リストにあることがわかりました。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。

[本リリースは、2016年6月15日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labの調査分析チーム(GReAT)※1 は、欧州のインターネットサービスプロバイダー(ISP)と協力し、不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」の実態を調査しました。その結果、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコル(RDP)サーバーの情報が販売リストにあることがわかりました。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。

xDedicはロシア語話者のグループによって運営されているものとみられ、2014年から活動を開始し、2015年中盤から急速にサイバー犯罪者の間で広まりました。フォーラムで売買されているサーバー情報の多くは、人気のある消費者向けのWebサイトやサービスのホスティング、もしくはそのようなWebサイトへの接続を提供しています。中には、ダイレクトメール、財務会計や販売時点情報管理(POS)処理のためのソフトウェアがインストールされているサーバーも含まれています。これらのサーバーは、所有している組織自体を標的とした攻撃や、ほかの攻撃の踏み台として悪用される可能性がありますが、所有者である政府機関、企業や大学はその事実にほとんど気づいていません。

欧州のISPから連絡を受けたことで始まった、この調査で明るみになったxDedicの運営方法は、単純でありながらも隙が無いことがわかりました。xDedicは会員制のフォーラムで、パートナーと呼ばれる「売り手」は、総当り攻撃(ブルートフォースアタック)などによって窃取したサーバーの認証情報をxDedic上に登録します。xDedicでは「買い手」が購入時に検討する可能性がある情報を自動で調べるためのツールが提供されており、「売り手」はそのツールを使ってサーバーのRDPの構成やメモリーサイズ、インストールされているソフトウェア、Webサイトの閲覧履歴などの詳細な情報をxDedicへ送信することで販売リストに登録されます。リストには次のようなサーバーが確認されています。

  • 政府機関ネットワーク、企業、大学が所有するサーバー
  • ゲーム、賭博、出合い系、オンラインショッピング、オンラインバンキングおよびオンライン決済、携帯電話ネットワーク、ISPやブラウザーなど、特定のWebサイトやサービスへのアクセスを持つか、これらのサイトをホストするようにタグ付けされたサーバー
  • ダイレクトメール、財務会計やPoSソフトウェアなど、攻撃に役立つ可能性があるソフトウェアが予めインストールされているサーバー

フォーラムの会員は、最低価格1台あたり6ドルで、そのサーバーのあらゆるデータにアクセスすることができ、標的型攻撃、マルウェア感染、DDoS、フィッシング、ソーシャルエンジニアリング、アドウェア攻撃など、ほかの攻撃を仕掛けるための踏み台としても利用できます。サーバーの正規の所有者は不正侵入に気づいていない場合がほとんどで、攻撃者は犯罪活動を終えた後、そのサーバーを再び売りに出すこともできます。

xDedicは、新たなタイプのサイバー犯罪市場を象徴しているといえます。巧妙な運営の仕組みに加えて購入時のサポートも手厚く、サイバー犯罪の初心者からAPTグループまでが、短期間、低コストで容易に正規組織のインフラへのアクセス手段を得ることができます。xDedicの運営グループは、取引の場を提供しているだけで、売り手とのつながりや提携はないと主張しています。

GReATのディレクター、コスティン・ライウ(Costin Raiu)は次のように述べています。「xDedicは、サービスとしてのサイバー犯罪(cybercrime-as-a-service)が、商用エコシステムや取引プラットフォームの方法を取り入れながら拡大していることを裏付けています。その存在により、破壊的な被害をもたらす可能性のある攻撃に、あらゆる犯罪者が素早く効果的かつローコストで携わることがこれまで以上に容易になっています。最終的には、標的となった個人や組織だけでなく、無防備なサーバーの所有者も被害者になり得ますが、目と鼻の先でサーバーが再び乗っ取られて別の攻撃に悪用されても、まったく気がついていない場合がほとんどです」

このような脅威に対抗するためのアドバイスは次のとおりです。

  • ITインフラを保護する包括的な多層防御アプローチの一環として、堅牢なセキュリティソリューションを導入する
  • サーバー認証プロセスで、強力なパスワードの使用を義務付ける
  • 継続的なパッチ管理プロセスを実施する
  • ITインフラの定期的なセキュリティ監査を導入する
  • 新たな脅威を継続的に組織内に知らせ、それを犯罪者側の視点でリスクレベルの評価に役立てることができる脅威インテリジェンスサービスへの投資を検討する

xDedicの詳細については、Securelist.comをご覧ください。


※1 Global Research and Analysis Team(GReAT、グレート)

GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky Lab、ハッキングされたサーバー70,000台以上のアクセス情報が取引される闇フォーラム、「xDedic」の実態を調査

不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」には、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコルサーバーの情報が販売リストにあることがわかりました。サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース