ダークウェブの巨大闇サイト「xDedic」で知るハッキングの恐ろしさ

この記事は寄稿者による投稿であり、執筆者はこのブログの管理者ではありません。

皆さんは、パソコンやスマートフォンのセキュリティ対策についてどの様にお考えでしょうか?
このブログの記事を読んでる人ならそれなりに対策方法を知っている事だと思います。

さて今回は、ダークウェブに存在するある売買サイトでの実例を挙げたセキュリティの重要性に関して説いていきます。
今回取り上げるこのサイトは、ウイルス対策ソフトを開発するカスペルスキーという会社のブログでも過去に記事にされており、その分野で大きなシェアを握っていることから注目されています。

では今回の事例ではとある通信プロトコルに関してセキュリティ対策をしっかり行っていない場合、どういう被害が考えられるのかについて記事にしていこうと思います。

本題に入る前に

さて、本題に入る前にまずは問題のサイトと関係するプロトコルについてお話します。

その名を一般的な通称で『Remote Desktop Protocol』、略して『RDP』と呼ばれているプロトコルです。
このプロトコルは外出先や職場から家のWindowsマシンを操作するのに一般的なプロトコルで、主にWindowsマシンだけで使われているプロトコルです。
Windowsでは基本的にソフトを追加してインストールする必要もなく、手軽に利用できるため非常に便利な存在といえます。

接続方法も至って簡単で、Windowsの場合は
『リモートデスクトップ接続』というソフトが初期状態から基本的に付属しているので
そのソフトを起動して接続先のパソコンのIPアドレスを入力して接続ボタンを押すと認証が要求されるので、
接続先のパソコンに登録されているユーザー名とパスワードを入力するだけであっという間に接続先のパソコンをシームレスに操作することが出来ます。
非常に便利ですね。

※設定方法は当記事とは無関係ですので、詳細は記しません。

ところが、この便利なプロトコルの設定を誤れば大惨事どころではすまない問題に直面する恐れがあります。
ここからが本題です。 今から設定ミスをしてセキュリティ対策において最悪な状態になったと仮定してそのパソコンがいったいどうなるかについて記していこうと思います。

ロシア圏に存在するxDedicとは?

ロシア圏に存在するxDedicは結論から言えば他人のパソコンを自由操作する環境が売買されている恐ろしいサイトになります。
もう少し詳しく書くとするならば前節で申し上げた設定ミスによってセキュリティがボロボロなコンピュータのアカウント情報を何らかの手段で入手して、そのアカウント情報を第三者に設定ミスの状態になっているコンピュータの持ち主に許可なく第三者に販売しているのです。
このxDedicは2015年ごろに開設されたサイトになりますが、現在は登録するのに既存ユーザーから招待を受ける必要があり、なおかつ200ドルもの高額な登録料を要求されます。
このアカウント情報を入手するということに関して、例を挙げるならば第三者があなたのコンピュータの中身を全て見ることが可能な状態になってしまったということなのです。

そうするとそのコンピュータ内に保存された情報は許可なく第三者に自由に閲覧されてしまいます。 顧客名簿や家計簿が知らない人間に無断で閲覧されるということは恐ろしいことだと思いませんか?

この節では実際にこのアカウント情報を販売しているxdedicというサイトを解説しながらその恐ろしさを明確に説明していきます。

実際に長々と文章で説明してもダレるだけなので画像も交えつつその実態に迫っていきましょう。

これが実際のxDedicのログイン画面です。 見た感じでは違法性を感じないただの会員制のサイトにしかみえませんね。
しかしながら、これはセキュリティの専門家を騙すための手法にしか過ぎません。 カスペルスキーではこのxDedicの実態をセキュリティエンジニア向けに2016年6月15日に発表していますが、2015年に誕生したサイトの発表に大体1年ほど掛かっているというぐらいですから、カモフラージュは非常に重要だといえます。
このカモフラージュによって初見では恐ろしいサイトだと分からず、しかもこのサイトが単なるコミュニティサイトの可能性もあるため、内部調査せずにこのサイトを簡単に停止させることはできないからです。

ログイン後のサイト内部には様々な情報が載っていますが、一番分かりやすいといえるのが売買ページでしょう。

これが一番重要である売買ページです。個別の機能についてはサイト紹介がしたいわけではないので省きますが、画像の下の半分を見てみると様々なコンピュータの情報が載っているのがなんとなく分かってもらえると思います。

しかし、上記の画像では日本の国旗がありませんね。でも、日本は狙われていないのかと言われれば全く違います
実は筆者が確認しているだけでも同様の違法売買サイトを他に2つ確認していますが、xDedicはそれらのサイトをはるかに凌ぐ販売数でありこういうアカウント情報売買サイトの規模でいえば最大級といえるでしょう。

ではここで本当に日本のコンピュータが狙われているということの証明をする為に日本限定にして再検索してみます。

xdedic内の日本サーバの販売状況

日本の国旗が一杯出てきましたのが分かると思います。
これらのコンピュータ達は全て元の持ち主の意思に関係なく無断で販売され悪い人間が悪用することが可能なのです。
恐ろしい話だと思いませんか? 僕は恐ろしくてしょうがありません。

では、ここでいったいどんなコンピュータの環境が売買されているのでしょうか?
実はここから恐ろしい本題なのです。

実際に買えるコンピュータの詳細を見ることが出来るので見てみましょう。

NTT スマートコネクト株式会社の回線を利用していると思われるコンピュータの情報.

さて上記の画像にはコンピュータの情報が細々と書かれていますが、皆さんに見てほしいのが左上です。

『NTT Smart Connection Corporation』と書かれていますね。
NTTスマートコネクション株式会社の回線を利用しているパソコンの環境ということになります。 といっても実際に企業で使われている回線なのかは分かりません。
他には右上を見ると分かりますが、『Admin Privilleage』や『Opened Port』などの情報も書かれています。前者は売買されているコンピュータのアカウント情報において管理者権限の有無が記載されています。 Yesということはあるということになりますね。 後者は空いているポート番号です。 80ポートということはこのコンピュータがWebサーバとして運用されているということになります。

他の部分は分かる方には分かる方には分かると思います。

ここまで書いてきましたが、何が言いたいというと売られているコンピュータの環境の中にはどんな情報が入っているか分かる状態で販売されているということなのです。

で、先ほど申し上げたどんな環境のコンピュータが売られているのか?

直球でお答えいたします。 まずは教育機関から挙げていくとするならば京都大学東京大学などの名門大学の環境のアカウント情報が一時期購入することが可能だったのです。

また、企業しか契約できない回線を利用したコンピュータのアカウント情報も売買されているのを確認しました。

悪い人たちはこういった販売サイトに他人のコンピュータを外部操作できるようにアカウント情報を販売しているのです。

このxDedicで販売されているコンピュータのアカウント情報の殆どは皆、大体700円から2500円の間で売買されています。

さて、ここまで長々と書きましたがここに実際に記事の読者のコンピュータが外部の人間によって操作可能であると仮定します。
そうするとこのコンピュータはどの様な用途で利用可能なのでしょうか?

実際に売買されたコンピュータが出来ること

筆者である私が考えただけでも一杯思いつきました。
まずはコンピュータの利用者の情報を抜き出して悪用することが可能でしょう。 例で挙げるならばコンピュータ内に保存された電子マネーのアカウントを奪って、勝手に使用することも可能です。 最近のブラウザにはパスワード保存機能が搭載されているからです。
次に回線を利用して、様々なサイバー犯罪に悪用することも可能です。 他人のコンピューターに対して攻撃をするサーバとして利用することも可能ですし、詐欺をする上で道具として利用することも可能なのです。

xdedicで開発されたプロキシサーバ化ツール

また、上記の画像のツールが配布されているのですが、これを利用すれば足のつかないプロキシサーバとして悪用することも可能です。 これを利用すれば一々コンピュータにログインしなくても自分の足取りを誤魔化すために利用することが可能であり、一々コンピュータにログインして証拠を隠滅しなくても済むわけです。

これだけでも恐ろしいのですが、さらに恐ろしい点があります。

それは接続の際に既存の匿名化技術を使われると誰がこのコンピュータを乗っ取ったか分からなくなります。 簡単に言えば完全犯罪です。
確かにRDP上にコンピュータの名前は記録されるのですが、こんな情報があっても犯罪者の居場所が分からない以上、この地球上で一台一台検査するしかありません。 通信経路が分からなければ国内の人間が攻撃したのかすら分からないのですから。

では、被害にあったときに日本の警察に泣きつくという方法をとれば安全なのでしょうか?

はっきり言います。日本の警察は完全に証拠隠滅された場合、手も足も出ません。 悪用した犯人を逮捕できません。

語弊でした。 日本の警察に限らず、セキュリティ関係の人間ですら手も足も出ないので捕まえることが現実的に考えて不可能だからです。
接続元がもしも日本ではなくウクライナなどの日本の警察の権力が使えない場所だったらもうお手上げです。 警察の怒りの開示請求が通りません。

それだけならまだ良いのですが、もっと恐ろしいことを考えれば冤罪が起きかねません。

もし侵入者があなたのコンピュータを遠隔操作してサイバー攻撃をした場合どうなるでしょうか?

年金機構の攻撃に使われたのがとある海運会社のアカウント情報を不正利用したものであるという説があり、年金機構の情報を奪うの手段や身元を隠すことを考えれば海運会社のアカウント情報を不正利用して年金機構から情報を奪うのが一番手っ取り早いからです。

片山裕介容疑者が起こした遠隔操作事件で発生した冤罪を忘れているかたもいるかもしれません。 あの事件でも冤罪で多くの被害者がでました。
最悪のケースで考えればあなたが第三者によるサイバー攻撃の踏み台に使われて無実の罪で逮捕される可能性も0ではないのです。

先ほど申し上げたとおり、証拠を隠滅することも可能ですので初動捜査が遅い日本の警察じゃ犯人を追いかけることは不可能でしょう。
なぜならば、その頃にはその接続ログが復元できなくなっている可能性も0ではないからです。

xdedicで提供されている証拠抹消ツール 自己消滅機能付きの犯罪者にピッタリなツール

我々はどうするべきなのか?

実はxDedicで販売されているRDPの多くは侵入経路が明らかになっていません。
その侵入経路は筆者にも正直言って分からないですが、これだけをやっていれば確実に侵入を防ぐ方法があります。

まずはリモートデスクトップ機能を無効化することです。
時々なぜかONになっていることがあるので、これを使わない場合はきっちり機能をOFFにしてしまいましょう。 不要な機能をオフにすることは他のセキュリティ対策でも非常に重要だからです。

後はTCPのポート番号3389を塞いでおくことです。塞いでおくということは外部からのアクセスを拒否してしまう状態にすることです。
塞いでしまえばクラッカー達はログインすることが出来ないので、今回の記事の最悪のケースは免れるでしょう。 (そもそも他の侵入経路から侵入されれば話は別なのですが……)

後はセキュリティ対策ソフトウェアの導入、Windows Updateの実施を忘れずにしっかりしましょう。

たまにWindows Updateが不具合を起こしていて更新できないと思っている方も居ると思いますが、解決出来ないのであればOSの再インストールをした方がいいと思います。

WannaCryのランサムウェアが流行っている現代の情報通信環境でいち早く脆弱性のパッチが出たら直ぐに適応するといった行動が必要になるのです。

次に被害を受けるのはあなたかもしれないからです。

まとめ

xDedicでは他人のコンピュータを操作出来るアカウント情報を販売している。
被害を受けると他人にコンピュータの中身が丸分かりになってしまう。
もしも誰かがコンピュータを不正操作して犯罪が行われた場合、冤罪に巻き込まれる可能性が出てくる。
セキュリティ対策をしっかりしよう。

関連記事

xDedic:不正入手された情報の取引フォーラムが、新たな攻撃の足がかりにも
https://blog.kaspersky.co.jp/xdedic/11748/

投稿をシェア

“ダークウェブの巨大闇サイト「xDedic」で知るハッキングの恐ろしさ” への2件の返信

  1. > 実はxDedicで販売されているRDPの多くは侵入経路が明らかになっていません

    適当にIP叩きまくって、ID、パス適当にいれまくってるだけじゃないの。ちょっと前に監視カメラが大量にハックされてたけど、それと同じでしょ。

  2. 素人で申し訳ないですが、RDPは遠隔操作の機能ですよね?
    全く気付かれないようにストレージの中身を抜き取ったりできるんですか?
    つまり、遠隔操作というのは単に勝手にマウスカーソルを動かしたり文字入力をしたりというだけではなく、何でもできちゃう感じなんですか?
    相手の画面に何も表示させないでPCの中身をいじくり回したりとか

コメントを残す

メールアドレスが公開されることはありません。