中国サイバー攻撃解説|リスト型攻撃 ②

【1】 古い「扫号器」の歴史
10年前からこのツールは存在し、メインはQQ番号を窃取するものでした。

また、オンラインゲームなどのアカウント/パスワードはチートプログラムやウイルスによって感染ユーザから取得され、自動的に攻撃者のメールアカウントに送信されることから、この累積したアカウント/パスワードの集合は(信=レター)と呼ばれるようになりました。この(信)は一回「扫号器」を使われゲームアイテムなど価値のあるものを抜き取られた後、また業界に転売されます。この(信)がリストの原型たるものとなります。

f:id:alienware:20140209221323j:plain

■QQ用扫号器

 

インジェクションなどによってユーザDBが効率的にサイトから抜き取られる様になってから、サイトAで抜き取ったユーザDBを、サイトB・サイトCへと次から次へとトライしログイン成功アカウントを取得する手法も現れました。

「扫号器」は状況ニーズによって、リスト型・ブルートフォース型のどちらか、或いは組み合わせで実施されることが可能です。

 

【2】QQから事業者までが攻撃対象に
当初は手頃な入手先として、QQ番号がたくさんこの手法でとられました。QQ番号がまだ桁数が少なかったこと、或いは縁起の良い番号で綴られたものを求める人が少なくなかったので市場もあり、また数字のみの短いパスワードの狙いやすい番号も多くありました。
現在それぞれ専用のツールが販売されているものは、QQ、CHINANET、支付宝、Battle.net、アマゾン、eBay, Paypal 、NAVER、facebookと枚挙に遑がない状態です。

f:id:alienware:20140209221559j:plain

■facebook扫号器

 

f:id:alienware:20140209221952p:plain

■イメージ図

 

【3】 リストの売買?
リスト攻撃が行われていたとしたら、リスト(=漏洩DB)をいかに攻撃者が取得したのかが問題です。
リストを保有する組織の身内が持ちだした、という可能性も否めませんが、専門家の見解によると、リストはだいぶ前に抜かれて未だに気づいてない、ユーザDB(脱库,TUOKU)の可能性が高いです。中国ではもはや(脱库)されていないサイトはないと言われるほど、手当たり次第DBが抜かれている状態な故、日本も当然免疫対象にはなってないと思います。自分のサイトは何も起きてないから大丈夫だ(=脱库されてない)、と安心は出来ないということでしょう。まだ何も事象が起きてないサイトも、DBがすでに漏洩しているとの前提で、新たに思考する必要があるのではないかと思います。

ちなみにネット上で、実際にリストの売買をしているグループは現在も、売り手・買い手共に活発に活動している状態です。(下図参照)

f:id:alienware:20140209222149p:plain

■リスト売買グループ

【備考】

対策についてですが、中国のサービス提供者はユーザに注意やパスワード変更を喚起するより、提供者側で対策を進めることが多いように見られます。例えば異常な挙動のログイン(いつもとは異なる場所からログインするなど)に対し、smsワンタイムパスワードを送信し入力を必須とする、などの対策をとっております。


尚、このような活動の取り締まり状況としては、2011年に深セン南山区で「QQ扫号器」攻撃ツールを作成したことでグループ4人が逮捕されました。
このグループはログインに成功したQQ番号からQQ貨幣などのバーチャル貨幣を窃取し転売することで12万人民元の利益を獲得してます。