VerisignのiDefense Intelligence Operations Teamは、最新の「Weekly Threat Report」の中で、アンダーグラウンド経済で150万件の破られたFacebookアカウントを販売すると主張する人物がいる状況について分析している。
その価格は破られた各アカウントが持つ連絡先の数に基づいて決められており、これは連絡先が多いほど、Facebookを通じて悪意を持ったコンテンツを広げやすいという考え方を用いたものだと思われる。
以下に掲載するのは、レポートからの抜粋と、このアンダーグラウンド広告に関する簡単なFAQだ。
「2010年2月10日、(サイバー犯罪者は)様々な国のユーザーが所有する、150万件の破られたFacebookアカウントを大量販売すると発言した。1000アカウント単位の価格は、各アカウントが持つフレンドや連絡先の数に基づいて変わるものとなっている。連絡先が10件以下の破られたアカウントを購入する場合、購入者は1000アカウントにつき25ドルを支払うことになる。連絡先が10件以上のアカウントを購入するには、購入者は1000アカウントにつき45ドルを支払わなくてはならない。(サイバー犯罪者は)連絡先が0のアカウントも販売しており、この場合1000アカウントにつき15ドルとなっている。これらのアカウントの価格には、米ドルあるいは同額の何らかの電子的通貨が用いられていると思われる。」
サイバー犯罪者の間では、「現実世界」の犯罪者の場合と同様に、仁義なき戦いが繰り広げられる場合もある。
洗練されたサイバー犯罪者や、より経験を積んだサイバー犯罪者は、それとは知らずに彼らのために働いてくれる、何千何万という潜在的なサイバー犯罪者が存在することを知っており、ウェブのマルウェア利用キットのインターフェースに裏口を仕込むことから、他人がリリースしたものに対しマルウェアを追加していくことまでしている。「初心者サイバー犯罪者をだまそうとするサイバー犯罪者」という構図は、近年このエコシステムに非常に活気があることを示している。
アンダーグラウンド市場の大部分は評判によって成り立っているが、このFacebookのデータの販売者にはそれが欠けている。さらに、現在ではサイバー犯罪エコシステムには品質の保証が不可欠になっているが、この販売者はアカウントが破られた時期に関する情報を提供しておらず、それらのアカウントのいくつが、実際に利用できると検証されているかについても触れていない。
これらの点や他の要素から、私はこのアンダーグラウンドでの提案の品質には疑問があると考えている。
--このサイバー犯罪者の主張が本当だったとして、この人物はどのような手段で150万件のFacebookアカウントを入手したのか?
この広告には、これらのアカウントが連絡先情報を持っていると明確に書かれており、これはそれらのアカウントが破られたものであることを意味している。また連絡先が0件のアカウントは、国際的に広がっているCAPTCHA解読を行うチームへのアウトソースにより、自動的に生成されたものであることを意味している。
破られたアカウントは、勢いを増しているCybercrime-as-a-Service(CaaS、サービスとしてのサイバー犯罪)市場モデルを通じて入手された可能性もある。例えば、3Gバイトの生のクライムウェアデータに100ドルを支払い、これにデータマイニングを行って150万件のFacebookアカウントのリストを作り上げたのだとすれば、現在の価格であれば、損益分岐点を超えるだろう。
フィッシング活動で入手した可能性も否定できないが、その場合でもこの販売者が個人的にそれを行ったのか、誰かから生データを購入することができたのかは分からない。
