目次
前回の記事「レポート: インターネット上のトラフィックの 73% は Web クローラーから来ている」では、悪意のあるクローラーが増加する理由は 2 つあると述べました。1 つは、悪意のあるクローラーのパフォーマンスを向上させる人工知能テクノロジーが広く普及していることです。 、黒とグレーの製品は「犯罪的な「サービスとして」」を使用しており、攻撃の商業的人気が高まり、新たな攻撃の開始が加速され、黒とグレーの製品の数がさらに増加します。
「Crime as a Service」(CaaS、Crime as a Service)とは、特定の企業や組織を攻撃するためのリソース、技術、時間を持っているものの、これらの条件を備えていないハッカーを指すサイバー犯罪モデルです。サイバー攻撃サービスを提供し、一定の料金を請求します。つまり、CaaSを利用することで、攻撃意図はあってもスキルを持たない人でも、ワンストップの攻撃サービスを利用して簡単に攻撃を仕掛けることができるのです。攻撃サービスを提供する側は、攻撃製品や攻撃サービスを製造・販売することで、簡単・迅速・再現性のある継続的な利益を簡単に享受できます。CaaS の脅威は増大しています。かつては、2018 年における最大のネットワーク セキュリティ問題の 1 つと考えられていました。人工知能、機械学習、クラウド コンピューティングの人気により、攻撃者が攻撃方法を改良するためのツールまたはターゲットとなっています。
CaaS の脅威は通常、特定の企業または組織をターゲットとしており、主な目的はデータの窃盗、システムへの損傷、身代金の強要、またはその他の悪意のある行為の実行です。攻撃者は経験豊富であるため、攻撃行動は高度に隠蔽され、柔軟であり、支払者のニーズや目標に応じて攻撃計画、時間、方法をカスタマイズできます。さらに、CaaS の脅威は拡張性と複製性が高く、サービスをレンタルする攻撃者は大規模な攻撃を迅速に開始するための既製のツールとテクニックを備えています。
CaaS は、サイバー犯罪のパンドラの箱の別の側面を開きました。現在、国際的に一般的な CaaS の脅威には、悪意のあるクローラー、ランサムウェア、分散型サービス拒否 (DDoS)、フィッシング、その他の攻撃が含まれます。
Ransomware as a Service (RaaS) : 熟練した攻撃者もそうでない攻撃者も、ランサムウェア ツールをレンタルして攻撃を開始します。これが、ランサムウェア攻撃が増加し続ける理由の 1 つです。
攻撃クラウドソーシング:新しい攻撃技術や方法を模索するためにダーク Web 上で攻撃者によって開催される公開コンテスト。これにより、より多くの攻撃者が研究開発プロセスの改善に協力できるようになります。
サービスとしてのフィッシング:フィッシング攻撃を志す者は、フィッシング キットを購入することでフィッシング攻撃を開始できます。これらには、電子メール テンプレート、欺瞞的な Web サイト テンプレート、潜在的なターゲットの巧妙なリストなど、攻撃を開始するために必要な機能やツールが含まれます。
分散型サービス拒否 (DDoS) の購入:比較的少額の料金 (たとえば、ヨーロッパでのこのようなサービスの価格帯は 5 ~ 500 ユーロ) で、攻撃者は Web サイト、アプリ、または個々のアイテムを標的にすることができます。または短期間中断され、収益の大幅な損失とイメージの低下をもたらします。
中国で静かに台頭する CaaS の脅威
国内の CaaS の脅威は、チケット取得サービスや不正なソフトウェア販売から始まり、静かに出現しています。
発券代行サービス
2023 年 9 月、天津で開催された周杰倫のコンサートは 30 秒以内に完売し、13 万枚以上のチケットが完売しました。多くのネチズンはチケットが手に入らないと不満を漏らしており、同時に「ダフ屋」がチケットの価格を法外な水準に引き上げている。内野前3列の一部のチケットは1万9800元で販売されるという。もともと2,000元の座席のチケットを15万元で買う人もいた。
2023年の夏休みには美術館のチケットが人気になります。公式ルートでは入手できない無料入場券ですが、値上げやセットサービスで入手できるとの報告が頻繁にあります。この状況は、国立博物館、南京博物館、湖南省博物館、陝西歴史博物館などの人気の博物館で発生しています。
2020年末に、53 Degree Feitian Moutaiが複数の電子商取引プラットフォームで大量に発売されました。同時に、オンラインショッピングプラットフォーム上に「茅台酒購入サービス」が多数登場し、消費者はこのサービスを通じて茅台酒を数百元で購入できるようになった。
いわゆる代理取得サービスとは、攻撃者がファン、観光客、消費者の個人情報を利用してチケットを取得し、チケットを購入する行為を指します。同じ製品またはサービスについて、A が B より 1 秒速い場合、A は正常に購入できますが、B は購入できません。
パンハンドラーは不正ツールを使用して登録、ログイン、スナップアップなどの操作を一括して行い、指定された商品やサービスを迅速、瞬時、大量に入手します。これらの不正行為ツールにはクラッキング機能があり、電子商取引の注文プロトコルを突破したり、画像検証コードをバイパスしたり、IP アドレスを自動的に変更したり、デバイス番号を偽造したりすることができます。アカウントのパスワードを入力し、実行時間を設定するだけで、自動購入タスクが完了します。
不正行為ツールの販売
2022 年 1 月、Dingxiang Defense Cloud Business Security Intelligence Center が監視し、黒とグレーの製品が多くの企業の保険加入システムをクラッキングし、時計不正ツールも作成していたことを発見しました。このツールを利用することで、保険会社の社員は外に出て仕事をすることができなくなり、「出勤」して皆勤賞を簡単に受け取ることができるようになります。
購入者は電子商取引プラットフォームやIMツールを通じて「顔偽造勤怠不正ツール」を購入し、保険会社の公式アプリにログインする。個人写真をアップロードし、勤務番号情報を入力することで、不正行為ツールはインジェクションを通じてシステムに偽のデータを送信し、顔認証を欺き、出欠チェックインを完了させます。
CaaSの脅威に対する防御テクノロジー
Dingxiang Defense Cloud Business Security Expert による分析により、CaaS の脅威には次の技術的特徴があることがわかりました。
1. CaaS脅威は通常、モジュール設計を採用しており、必要に応じて自由に組み合わせることができる多数の攻撃コンポーネントまたはサービスを備えています。たとえば、偽のアカウントや悪意のあるクローラーが CaaS 攻撃のコンポーネントとして使用される可能性があります。
偽アカウントをバッチ処理します。登録はアカウント作成の重要なプロセスであり、攻撃者はテクノロジーを利用してアカウント登録を一括で自動化し、数百、場合によっては数万のアカウントを登録して瞬時に大規模な購入を実現する可能性があります。
2. CaaS の脅威は、多くの場合、セキュリティ ソフトウェアや機関による検出や傍受を回避するために、高度な暗号化および回避テクノロジを使用します。たとえば、ダイヤル ツール、機械改造ツール、シミュレーターを使用して、自分の本当の身元と場所を隠します。
IP ロケーションを素早く偽装します。IP アドレスは、インターネットをサーフィンするときのユーザーのネットワーク情報アドレスです。攻撃者は、Dial IP ツールを使用して、国内および海外の動的 IP アドレスを自動的に呼び出し、自動切り替え、切断リダイヤル、ブラウザの Cookie キャッシュ、仮想ネットワーク カード情報の自動クリアなどの機能を備え、迅速かつシームレスに攻撃を実行します。国内 IP アドレスと海外 IP アドレスを切り替えたり、異なる地域の IP アドレスを切り替えたりすることができます。
GPS 位置情報を素早く偽装します。GPS 測位は、ネットワーク サービスを使用する際のユーザーの地理的位置情報であり、攻撃者はシミュレーション ソフトウェアやサードパーティ ツールを使用して位置の経度や緯度を変更し、任意の場所への瞬時の「移動」を実現できます。
デバイス属性をバッチで偽造します。デバイスのモデル、シリアル番号、IMEI などは固有です。攻撃者は改ざんツールを利用してデバイスのインターフェースをシステムレベルから乗っ取ることができ、アプリケーションがこれらのインターフェースを呼び出してデバイスの各種パラメータを取得すると、改ざんツールによって偽造されたデバイスの属性情報のみが取得されます。一般に、変更ツールは 2 ~ 3 分で 1,000 個のデバイス属性を完了できます。
3. CaaS の脅威は、連携性と持続性が非常に高く、リモート コントロールを通じて長期的なネットワーク攻撃活動を行う可能性があります。たとえば、Qun Kong ソフトウェアを使用して、指示の受信、データの送信、情報の公開などを行うために多数のアカウントを制御します。
グループ制御を使用してアカウントを制御します。Heihui Products は、グループ制御を使用して、1 台のコンピュータで数十、数百、さらには数千のデバイスを制御し、統一された登録、ログイン、急ぎの購入、注文などを行うことができます。グループ制御では、擬似配置、シェイク、アドレス帳の一括インポート、メッセージプッシュなどの機能も提供します。
CaaS攻撃に対するセキュリティソリューション
Dingxiang Defense Cloud のビジネス セキュリティの専門家は、CaaS リスク攻撃を効果的に防止するには、ビジネス ルールの補完と改善に加えて、的を絞った方法でビジネス セキュリティ システムを変更することも必要であると提案しています。
デバイスと IP アドレスのリスク監視: IP リスク データベースにアクセスし、ユーザーに関連付けられた IP でリスク マッチングを実行し、プロキシやダイヤルアップ IP などの悪意のある動作を特定し、悪意のある IP アドレスをタイムリーに傍受します。同時に、デバイスの指紋認識テクノロジーを使用して、クライアント デバイスの正当性を判断し、インジェクション、フック、エミュレータなどの潜在的なリスクがあるかどうかを特定し、フラッシュ、ルート化、ジェイルブレイクなどの違法行為を迅速に特定します。同じデバイスの複数のアクティベーション、同じデバイスに関連する異常な IP 動作、および同じチャネル内の古いデバイス モデルの異常な割合を監視することによって、リスクの特定と阻止の機能をさらに向上させることもできます。
危険なアカウントの特定と傍受:ユーザー認証プロセス中に、検証環境の情報とトークンを分析し、異常や危険な操作をタイムリーに発見します。ユーザー行動分析テクノロジーを利用してアカウントを戦略的に制御し、注文を開始するために同じデバイス上で多数のアカウントが切り替えられる状況を制御し、リスクのあるアカウントを効果的に特定して阻止します。
データ分析と予測:ローカルリストの動的運用および保守メカニズムを確立し、登録データ、ログインデータ、アクティベーションデータおよびその他の情報に基づいて、ユーザーID、モバイルのブラックリストを含む、対応するブラックリストおよびホワイトリストのデータを生成および保守します。電話番号、デバイス、その他の寸法。同時に、リスク管理戦略やビジネス蓄積データと組み合わせて、機械学習およびデータマイニング技術を使用して行動モデリングを実行し、登録、ログイン、注文、急ぎ購入などの行動を分析および予測し、出力されたモデルの結果を直接利用できます。リスク管理戦略を提供し、サポートします。
デバイスとIPアドレスの監視を強化し、危険なアカウントを特定して遮断し、データ分析と予測に基づいてリスク行動を変えることで、潜在的なリスク要因をより正確に特定して対応し、ユーザーにより安全で信頼性の高いサービス環境を提供できます。 。同時に、リスク管理戦略はタイムリーに更新および最適化され、進化するリスク状況とニーズに継続的に対応し、ビジネスの安全を確保します。