サイバー犯罪社会かサーフェスウェブかにかかわらず、オンラインマーケットが廃業するというのはよくある出来事です。今、アンダーグラウンドのサイバー犯罪社会では、様々な理由によってマーケットが立て続けに閉鎖されており、閉鎖されたマーケットのユーザー達が、商品やサービスを売買できる次のマーケットを探し求めて活発な動きを見せています。KELAは、有名なカーディングマーケット「Joker’s Stash」が2021年2月15日をもって閉鎖するという重大発表を受け、様々なサイバー犯罪マーケットの閉鎖と、それらのマーケットを利用していたユーザー達が次にどこへ向かうのかについて理解を深めるべく、サイバー犯罪のアンダーグラウンドを調査しました。
今回の調査結果の重要なポイント:
- Joker’s Stashが閉鎖されたことを受けて、同マーケットのユーザーを取り込もうとしている4つのマーケットを特定しました。それぞれのマーケットが打ち出す広告とユーザー達の反応を見たところ、Joker’s Stash のユーザー達はBrian’s ClubやVclub、Yale Lodge、UniCCを新たな活動の場に選ぶと考えられます。
- 我々は、サイバー犯罪者達が一般社会のビジネスマンやマーケティング担当者と同じように、同業者の廃業に乗じて自らのサービスを宣伝し、そのユーザーを取り込もうとしている状況を観察しています。
- Joker’s Stash の閉鎖を受けて新たなマーケットを探しているカード情報ベンダー達を取り込むために、マーケットの管理者達がベンダーに課すライセンス費用を無料にするというトレンドが生まれていることを発見しました。
- IT・サイバーセキュリティを担当される皆様が脅威アクターらの信頼性を評価し、彼らの次の行動を予測して自らの組織をサイバー脅威から守るにあたり、まず脅威アクターらの動向と彼らのTTPを監視することが重要であると提言します。
新たなカーディングマーケットを探して
新型コロナウィルスは、アンダーグラウンドで活動するサイバー犯罪者達にも大きな打撃を与えました。ここ最近サイバー犯罪業界で発生した出来事が、その事実を表しています。2020年ももうすぐ終わりというその時、アンダーグラウンド最大のカーディングマーケット「Joker’s Stash」が閉鎖に向けた活動に着手しました。過去1年の間に、Joker’s Stashの管理者は新型コロナウィルスに感染して体調を崩し、そのうえマーケットのサーバー数台が当局に押収されるという事態にも直面したことを考えると、彼がそろそろ引退する時期かと思うに至ったのも自然な流れと言えるでしょう。世界中の何百万もの人々と同じようにJoker’s Stashの管理者も、今回新型コロナウィルスに感染したことによって日常業務を中断し、休みを取らざるを得ない状況に追い込まれたのです。彼は、自分が新型コロナウィルスに感染したこと、そして治療で数日間の休みを取るため、その間はマーケットの対応が一部停止することを発表しました。
新型コロナウィルスに感染した為、体調が回復するまでマーケット業務を一時停止することを発表したJoker’s Stashの管理者の声明。振り返って考えると、この発表がJoker’s Stashの終焉の始まりであったと思われる
Joker’s Stashは、窃取されたクレジットカード情報を売買するサイバー犯罪者達にとっての、活気あふれるワンストップ・ショップとしての地位を確立していました。そして金銭に飢えたサイバー犯罪者側でも、クレジットカード売買にまつわるニーズに直面した際には、まずこの悪名高いJoker’s Stashに直行するという流れが出来上がっていました。しかしこういった流れが可能となるのも2021年2月15日 までとなりました。1カ月前、Joker’s Stashの管理者が、30日以内にマーケットを正式に閉鎖することを発表したのです。なお、その理由についての詳細な説明が行われることはありませんでした。
2021年2月15日でマーケットを閉鎖することを告げるJoker’s Stashの公式発表
我々は、同マーケットに関する最近の出来事をいくつか振り返ったうえで、今回の閉鎖は複数の要因が組み合わさったことによって生じた結果であると推測しています。
- 管理者はこの数年の間、堅調なビジネスを営んでいました。そこでまず単純に考えられる可能性として、新型コロナウィルスに倒れてマーケットの運営に万全な態勢で戻れなくなることを危惧する事態に陥る以前から、「そろそろ引退しようか」と考えていた可能性があります。
- 米連邦捜査局とインターポールによってJoker’s Stashのサーバー数台が一時的に差し押さえられましたが、その出来事が同マーケットの運営に影響を及ぼしたとも考えられます。サーバー押収時に同マーケットに対して行われた捜索活動や当局からの脅威の高まりが、マーケット管理者に閉鎖を決断させたのかもしれません。
- 管理者の病気を理由に同マーケットの活動が一時停止しましたが、それがマーケットのビジネスを鈍化させ、さらにはマーケットの活動再開にも影響を及ぼした可能性があります。
- 昨年当局にサーバー数台を押収された時期を含め、Joker’s Stashはこれまでにも何度かマーケットの運営を一時停止したことがありました。その結果、同マーケットに対する評価や信頼が潜在的に低下した可能性も考えられます。
今回マーケットが閉鎖される理由がなんであれ、Joker’s Stashの常連ユーザー達は、次の活動場所となるマーケットを探しています。そして当然のことながら、他のカーディングマーケットはこの機会を利用してビジネスをさらに推し進め、Joker’s Stash のユーザーを自分達のマーケットに取り込もうとしています。こういった現象は特に目新しいものではなく、我々はDark MarketやEmpireなどのマーケットが閉鎖された際にも、その競合となるマーケットが類似の活動を行っていたことを目撃しています。
Joker’s Stashでカード情報を売買していたアクターらが次にどこへ向かうのか—それを探るべく、我々は有名なアンダーグラウンドフォーラム数か所を探索しました。そして今回の分析では、サイバー犯罪者達の間でカーディング商品が活発に売買されていることが確認されるとともに、Joker’s Stashが閉鎖された影響により、一部のマーケットではユーザーが増加しているようにも見られました。
これまでBrian’s Clubは、クレジットカード情報を売買するサイバー犯罪者達に向けて、相当なマーケティング兼広告活動を行ってきました。そしてJoker’s Stashが閉鎖を告げた今、やっと長きにわたる彼らのマーケティング活動が報われる時が来たようです。Joker’s Stashが閉鎖を発表した直後、Brian’s ClubはXSSのメインページに広告を掲載し、堂々と他のマーケットを出し抜いてユーザーを獲得しようとしていました。
有名なアンダーグラウンドフォーラム「XSS」のメインページにある広告スペース。Brian’s Clubはこのスペースを購入し、広告を掲載している。また同フォーラムでは、Joker’s Stashのメンバー達が次の活動先となるマーケットについて議論を交わしている
サイバー犯罪者達は、時機をとらえてマーケティング戦術をもっとも効果的に活用する術を知っていました。Brian’s ClubはXSSのメインページに広告を掲載した他、追加の費用を投じてOmerta(クレジットカード売買を専門とする人気のアンダーグラウンドフォーラム)の公式スポンサーとなったのです。ちなみに、ほんの一年前まではJoker’s StashがOmertaの公式スポンサーを務めていました。
Brian’s Clubが、カーディングフォーラム「Omerta」の公式スポンサーになることを決定
Brian’s Clubのマーケティング担当者がその活動に精を出す一方で、アンダーグラウンドのアクターらは、カードやダンプ商品の取り扱い量から考えて、いまや最大規模のカーディングマーケットになりつつあるBrian’s Clubを、カード売買の新たな拠点とすることに合意しているようです(我々は、現在までに500万枚近いクレジットカード情報がBrian’s Clubで販売されていたことを確認しています)。また、Brian’s Clubには紹介システムも導入されており、購入者が同マーケットでアカウントを有効化する際には保証金1米ドルを差し入れる必要がありますが、既存ユーザーが新規ユーザーをマーケットに招待した場合は、新規ユーザーが支払った保証金の10%から15%が招待者となる既存ユーザーに支払われています。
フォーラム「XSS」のメンバーが、盗んだクレジットカード情報の売買で次に頼れるマーケットはBrian’s Clubであると語る投稿。「Joker’s Stashが消えて空いたスペースを誰かに埋めてもらわなきゃね。Brian’s Club、君の番だよ!」
しかし、Joker’s Stashの閉鎖をユーザー獲得の機会として利用しようとしているカーディングマーケットは、Brian’s Clubだけではありません。カーディングマーケット「Vclub」も、Joker’s Stashの後継を探すユーザー達を対象とした宣伝活動を行って、カーディング業界でのポジションを固めようとしています。同マーケットでは、ユーザー登録費25米ドルを支払うと10万件に及ぶ窃取されたクレジットカード情報と数十万ものダンプを即時に閲覧することが可能となります(詳細情報を閲覧する場合は各商品を購入する必要があります)。
Vclubの公式ユーザーが某有名フォーラムに掲載した投稿。Joker’s StashのユーザーにVclubを宣伝している
某有名アンダーグラウンドフォーラムのユーザー達は、Vclubのサービスと品質がJoker’s Stashのレベルに達していないと主張しています。例えばあるメンバーは、Vclubでも高額な部類に入るカードを購入したにもかかわらず、カードの利用上限額がたった150米ドルであったことについて不満を述べていました。しかし、Vclubで販売されているカードはJoker’s Stashのものほど質が良くないと文句を言う購入者達がいる一方で、VclubはJoker’s Stashにとって代わる素晴らしい選択肢の一つであると考えているメンバーもいます。
Vclubで販売されているカードの品質について不満を述べるユーザー達
Vclubのスレッド。Vclubのユーザー達が「Joker’s StashのベンダーにVclubで取引させるべきか否か」で意見が衝突している
また、一部のJoker’s Stashユーザー達は、Yale Lodgeへ移動するかもしれません。彼らが新たに収益化を図るマーケットを探して、Yale Lodgeへの登録方法について積極的に質問している様子が、これまでにも確認されています。しかしここでネックとなるのがYale Lodgeの登録料です。Yale Lodgeでは登録料として150米ドル、保証金として最低200米ドルを要求しており、これは他の同業マーケットに比べて非常に高額であると言えるでしょう。例えばJoker’s Stashでも保証金は要求されていましたが、その額はたった20米ドルでした。
そしてUniCCもJoker’s Stashに代わるマーケットとして有望な候補となっているようです。同マーケットでは、毎週およそ30万枚のクレジットカード情報が新たに追加されています(2021年2月3日から2月9日までの同マーケットの実績に基づく)。UniCCでは、保証金100米ドルを払ってアカウントを有効化すれば、マーケットで販売されている商品を閲覧できるシステムとなっています(個々のカードの詳細情報については別途代金が必要となります)。
カード売買を行っているのは、今回のレポートで取り上げたマーケットだけではありません。カーディング業界全体の規模はそれよりもはるかに大きく、サイバー犯罪者達はもはや専門ショップに限らず、フォーラムやインスタントメッセージチャネル、非公開の個人取引などを通じてカード情報やダンプを購入しています。新興のマーケットがカーディング分野で真の成功を収めるたには、常に新規のベンダー(販売者)や購入者をマーケットに取り込めるよう重点的に取り組む必要があります。その点では、これまで取り上げてきたマーケットはいずれも大規模な広告キャンペーンを積極的に打ち出して、新規ユーザーの獲得に努めています。
過去に見られるマーケットの閉鎖とユーザーの移動
アンダーグラウンドの主要マーケットが閉鎖されるのは、今回が初めてではありません。我々は、これまでにもマーケットやフォーラムが閉鎖され、ユーザー達が代わりの場所を探さざるを得なくなるという事態を目撃してきました。
Dark Market
世界最大のサイバー犯罪マーケットとも言われるDark Market は、最近同業のマーケット「Bitbazaar」と「Nightmare Market」が閉鎖された際、両マーケットのユーザー達に「無料特典」戦術を展開して多大な利益を獲得しました。Dark Marketは2つのマーケットの閉鎖をきっかけに、より多くのユーザーを自らのマーケットに惹きつけるべく、「BitbazaarとNightmare Marketの閉鎖で『難民』となったユーザー達のライセンス費用を免除する」という広告を打ち出したのです。Dark Marketの説明によると、両マーケットの元ユーザー達はDark Marketでユーザー申込を行い、かつ同マーケットの提示する要件を満たせば無料でDark Marketのベンダーアカウントを開くことができるということでした。そしてこの広告のおかげで、Dark Marketは多くのサイバー犯罪者達の注目を集めることに成功しました。
そして2021年1月、Dark Marketは法執行機関によって閉鎖されました。しかし我々は、その直後にやはり同業のマーケットが同じく「ライセンス費用免除」戦術を展開していることを確認しました。Dark0de 2.0(2020年5月にオンラインマーケットとして登場したとされており、悪名高いマーケット「Dark0de」の再来ともいわれている)は現在、新規加入ベンダーに課される200米ドルを無料にする「Dark Market難民向けのライセンス費用免除」特典を提供しています。そして、Raw MarketやViceCity、Liberty、Televendをはじめとする多くのマーケットも、一斉にこの「ライセンス費用免除」戦術を採用しはじめました。
Yellow Brick Market
Yellow Brick Marketもこれまでに数回、何の説明をすることもなく突然マーケットの運営を停止・再開していましたが、2020年の終わりに再び本格的に運営を停止したようです。そしてここでもやはり、Yellow Brick Marketのユーザーの受け皿になろうとする他のマーケットが、この機会に乗じて自らの存在をアピールしています。ちなみにDark0de 2.0は、この時も「ライセンス費用免除」とその他の特典を提示して注目を集めました。
Incognito Marketについては、Yellow Brick MarketとDark Marketの両方が閉鎖されたことを利用して、今はなき両マーケットの常連ベンダー達に向けた宣伝活動を行っていることが確認されました。Incognito Marketの管理者は、以前に活動していたマーケット(Dark MarketやYellow Brick Market)で優れた実績のあるベンダーについてはライセンス費用を完全免除するとともに、評価が良いベンダーについては完全な「早期終了」特権(エスクロー期間を待つことなく売買を完了できる特権)を自動付与する場合もあることを発表しました。また、定評があるものの以前のマーケットでの在籍期間が短いがゆえに、完全な早期終了特権を自動付与される要件を満たさないベンダーについては、1500ユーロを支払うことで早期終了特権を手に入れることができることも発表しています。
Empire Market
有名なマーケット「Empire Market」は、出口詐欺とも思われる形でアンダーグラウンドのエコシステムから姿を消しましたが、その時にもアンダーグラウンドでは今回と同様の傾向が観察されました。例えばIcarus Marketの管理者も、他の有名なマーケットのマーケティング手法に感化され、Empire Marketが閉鎖された機会に乗じて同マーケットのベンダー達に「ライセンス費用免除」特典を提供し、Icarus Marketのベンダーとして登録するよう招待していました。
サイバー犯罪者達の活動を振り返っての提言
サイバー犯罪者達が、一般社会のマーケティング担当者と同じように利益を向上させ、ユーザートラフィックを改善しようと取り組む事例はこれまでにも多数観察されており、本レポートでご紹介した事例はあくまでほんの一部です。現在明らかとなっているのは、カーディングマーケットの管理者達が競合マーケットの閉鎖を機に、新たなベンダーを自分達のマーケットに取り込むべく、「ライセンス費用免除」特典を提供するというトレンドが生まれていることです。
アンダーグラウンドのサイバー犯罪者達は、その環境の変化に合わせて常に新しいマーケットへと活動場所を変え、新たな収益手法を採用しています。従って、企業や組織のIT・サイバーセキュリティを担当される皆様においては、継続的にサイバー犯罪者達に見られるトレンドを追跡し、脅威アクターらとそのTTPを確実に理解して、常にサイバー犯罪者達の数歩先を読むことが重要となります。Joker’s Stashが正式に閉鎖された今、大半の活動がBrian’s ClubやVclub、Yale Lodge、UniCCに移ることが予想されます。詐欺対策業務に携わる部門であれば、これまで挙げてきたようなカーディングマーケットやその他のフォーラム、インスタントメッセージグループのいたる所でサイバー犯罪者達が交わす会話を観察することで、彼らが次に企てると思われる計画を理解し、不正行為による深刻な経済的損失の本質的な回避につなげることができるでしょう。