[新製品・サービス]

ウイルス作者向けの有償サービスも登場、RSAセキュリティがオンライン犯罪の最新動向を報告

2010年3月24日(水)

 RSAセキュリティは2010年3月24日、オンライン犯罪の最新動向を紹介する月例会を開催し、2つの新たなトピックを発表した。1つは、マルウエア作成者向けにウイルス対策エンジンの有効性をテストする有償サービスが登場したこと。もう1つは、最近の調査によって見えてきた、マルウエアの活動拠点となる犯罪ネットワークの構造である。

 1つ目のトピックは、マルウエアに対するウイルス対策エンジンの有効性をテストする、マルウエア作者向けの有償サービスである。作成したマルウエアが市場にあるウイルス対策ソフトによって検知されるかどうかをテストできる。マルウエア作成者向けに作られたサービスであることが最大の特徴であり、FaaS(Fraud as a Service、サービスとしての詐欺)の一種として位置付けられる。

 具体的なサービス・イメージは、以下の通り。登録しているウイルス対策エンジンは20種類以上で、最短1時間間隔でシグネチャを更新している。利用料金は、1ファイル1回スキャンあたり15セントから1ドル程度。登録したマルウエアを検知するエンジンが登場した場合にメールやIMで通知することも可能。ユーザー・プログラムから一連の処理を利用するためのAPIを実装したPHPスクリプトも配布している。

 もう1つのトピックは、トロイの木馬などのマルウエアが活動の拠点とする、犯罪ネットワークの構造である。米RSA Securityが3月17日に発表したもの。ネットワークの構造は、9個のISP(インターネット接続プロバイダ)の背後に、外部からは見えない8個の犯罪中枢ネットワーク(Bulletproof Network)と、犯罪中枢ネットワークとISPを仲介する5つの中間ネットワーク(Upstream Network)が存在する。Rock Fish団などの犯罪集団が、これらのネットワークを実際に使っている。

 こうした犯罪ネットワークの構造は、同ネットワーク群を構成する代表的な中間ネットワークである「AS-TROYAK」の調査中に分かったものである。以前は、ISPの背後にはAS-TROYAKという単体のネットワークだけが存在し、マルウエアの活動拠点になっていると思われていた。ところが、実際には、AS-TROYAKは数ある中間ネットワークの1つでしかないことが判明。調査中の3月7日には、AS-TROYAKがインターネットとの接続を停止し、現在もコネクションのUp/Downを繰り返しているという。


写真1 ウイルス対策エンジンの有効性をテストする、マルウエア作者向けサービス「Virtest.com」の画面


写真2 米RSA Securityが3月17日に発表した、犯罪ネットワークの構造

関連記事

ウイルス作者向けの有償サービスも登場、RSAセキュリティがオンライン犯罪の最新動向を報告 RSAセキュリティは2010年3月24日、オンライン犯罪の最新動向を紹介する月例会を開催し、2つの新たなトピックを発表した。1つは、マルウエア作成者向けにウイルス対策エンジンの有効性をテストする有償サービスが登場したこと。もう1つは、最近の調査によって見えてきた、マルウエアの活動拠点となる犯罪ネットワークの構造である。

PAGE TOP