ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

地下社会の行動規範

「ここにいる我々全員名誉ある男だ。弁護士のようにお互いを保証する必要はない。」
- Mario Puzo, The Godfather

ダークウェブのいかがわしい深みには、薬物や武器の売買からクレジットカードのダンプやゼ ロデイ(マルウェア)調達まで、犯罪活動に満ちた地下サブカルチャーがあります。サイバー犯 罪者は、その実行と隠蔽において、より賢く上手になろうとしているので、彼らがどのように運 営しているかを研究することで、企業資産の保護のために利用できる知識の宝庫を提供する ことができます。皮肉なことに、ダークウェブ上で犯罪者を保護している匿名性は、セキュリテ ィ専門家による秘密裏の侵入やインテリジェンスの収集のために逆に活用することもできま す。以降で紹介する、明記されていないルールやしきたりを含む地下社会の仕組みについて のスナップショットが提供できたのは、これらの難しい偽装手段があってこそです。

 

地下フォーラムへの参加

地下のサイバー犯罪者間でのフォーラムやディスカッションプラットフォームは充実しています が、公開されていないものはほとんど大物プレーヤーが知識やデータを共有しています。

参加するのに費用がかかるいくつかの取引プラットフォームを除いて、フォーラムへの参加は 無料ですが、深いポケットを持つ本当の大物プレーヤーだけがそこで取引を行なっています。

ほとんどのフォーラムではさまざまなレベルのアクセスが提供されていますが、最低レベルの アクセスであっても、一般的に、新しい仕事を始めたり、大学に入学したり、排他的なクラブに 加わったりするときに経験するような審査プロセスから始まります。

地下では、管理者がアクセスを許可する前に、候補者はフォーラム管理のために他のフォーラ ムのプロファイルを提供して審査を受ける必要があります。管理者は、既存のフォーラムメン バーからの推薦を依頼することもできます。また、一部のフォーラムでは、既存のメンバーが、 フォーラムへのアクセス制限を取得するためのコードを提供できるシステムを使用していま す。 場合によっては、このコードを購入することもできます。

 

CodeRequired1-Edited CodeRequired2-Edited

このアクセス制限はショーのためだけではありません。これらのフォーラムのメンバーは、ビジ ネスを行いコミュニティ内で評判を確立する際に、匿名性を維持するために多くの努力をして います。あらゆる場所に潜んでいる素性の分からない招かれないゲストは、このタイプの環境 が繁栄するのには役立たないでしょう。

 

行動規範

それでは、無秩序が一日を支配し、誰も真のアイデンティティを持っておらず、支払いが暗号 通貨で行われているような場所で、一体どのように秩序が現れるのでしょうか?

これらのプラットフォームにはそれぞれ独自のルールがありますが、すべて同じような一般的 なガイドラインに従っています。

 

一連のルールの例:

1. メンバーは、他のメンバーに対して脅威となる行動を起こしてはならない。これには感情的 な論争も含まれます。また、アカウント、dox(晒す)、または swat を盗む脅威。これには、 投稿、PM、プロフィールなどのオンサイト資料が含まれます。

2. "bump"、 "lol"、 "roflmao"、 "thanks"や、最低文字数を満たすための繰り返し文字など の短くて品質の低い投稿をしないこと。

3. メンバーにトロイの木馬、ウイルス、またはバックドアを感染させないこと。

4. 投稿やプロフィールに、感染したダウンロードへの直接リンクを置かないこと

5. あなた以外の個人情報の投稿は行わないこと。プライバシーはここで尊重されるべきで す。これには、パスワード、ログイン、ダンプなどが含まれます。

6. 署名画像は 650x200 ピクセルとサイズ 500k を超えないこと。アニメーション GIF は不快な ものにならないように。

7. 投稿、署名、または PM で評判を求めたり、提供しないこと。これには、「感謝する」のよう な励ましも含まれます。

8. アダルト画像、アダルトリンク、アダルトアカウントの取引はしないこと。

9. 元のアカウントがハッキングされたとの報告がない限り、複数アカウントは許可しません。 禁止事項を行なった場合、古いアカウントと新しいアカウントが永久に閉鎖されます。例外 はありません。

10. 競合するサイトの広告は許可しません。これは、HF に似ている、または比較的類似したフ ォーラム構造を持つハッカーフォーラムを持つウェブサイトを指します。広告には、署名、 PM、プロフィール、投稿が含まれます。

11. 偽プログラムの投稿をしないこと。

12. 寄付のためのスレッドや投稿をしないこと。融資の依頼も含みます。

13. リンクされたページに掲載されている全てのブラックハット・ハッキング活動は禁止します。

14. ヘルプ文書に記載されたプロファイルポリシーとルールの違反について読むこと。

15. フォーラムのヘッダーに掲載されているルールもすべてレビューすること。一部のフォーラ ムには特別なポリシーがあります。ポリシーを読まずに投稿しないこと。

16. マーケットプレイスタイプのスレッドは、マーケットプレイス領域になければなりません。違 反した場合、フォーラムを間違ったペナルティとして、3 日間の投稿禁止と警告が課せられ ます。

17. Discord チャンネルまたはユーザー名の宣伝をしないこと。

 

もしこれらの規則が厳しすぎると感じるのであれば、ナイフで削ぎ落とすことができます。あな ただけではありません。自分の身元を明らかにしたり、同僚にマルウェアを感染させたりしない ようにするための戒めは、これらの人たちの仕事の範囲を考えれば不自然なようですが、その ようなルールは機能が機能するためには絶対的に重要です。

「フォーラムの他のメンバーを騙さないでください」などのいくつかのルールは明らかです。複 数のアカウント/アイデンティティを許可しないなど、匿名のフォーラムのコンテキストでは好奇 心を感じるかもしれませんが、メンバーの別名はアイデンティティと評判です(詳細は後で説明 します)。複数のアカウントを持つメンバーは、レピュテーション(評判)システムをおもちゃにし たり、偽の会話やレビューを行なうなど、多くの問題ある状況を作り出します。

特に注目に値するもう 1 つのルールは、フォーラム管理者がルールに関するいかなる問題に ついても最終的な発言権を持つというものであり、フォーラムのメンバーになるということは、 彼らのどんな判断も受け入れるということを意味します。管理者がどのようにして決定を下す のかについてどれだけ開示しているかは、自由裁量であり、フォーラムによって異なる場合が あります。

NotADemocracy-Edited

 

信頼に基づくコミュニティ

メンバーは、信頼に基づく内部コーデックスを持つ自己組織化された社会です。信頼は、主に コミュニティへの貢献、評判を確立するための投票ポイント、そして発言量に基づいています。 有益な投稿、新しい脆弱性チュートリアルや新しいインフラストラクチャのセットアップ、信頼性 の高い提供物などの有用な資料は、他のメンバーによって評価され、評判が上がる可能性が あります。一方、他のフォーラムメンバーを騙そうとする試みは許されません。簡単に言ってし まえば、良いメンバーは信頼できる人です。

Ban1-Edited

Ban2-Edited

Ban3-Edited

Ban4-Edited

Ban5-Edited

管理者と「信頼できる」メンバーは、信頼できる内部サークルであるフォーラムの基盤です。メ ンバーは、特定の分野、顧問、または保証人への特権アクセスを持つセクション管理者になる ことができます。保証人とは、フォーラム管理者が指名した信頼できるメンバーであり、メンバ ー間の取引を促進するのに役立ちます。彼らは本質的にエスクロー(委託)サービスとして行 動し、一方の側が支払い、他方が対価に相当するすべてを得られるようにします。

Escrow1

Escrow2

Escrow3-Edited

エスクローサービスは簡単なプロセスに従います。保証人は、買い手と商品の売り手からの支 払いを受け取ります。彼らは、商品が取引条件を満たしていることを確認し、支払いを売り手 に、商品を買い手に移転します。誰もが自分のものを手に入れ、ほとんどの場合、保証人は自 分自身で契約の一部を受け取ります。

フォーラムの他の指針の 1 つは、新しく登録されたメンバーが売ろうとしているものを信用しな いことです。初心者で製品を販売しようとしている場合は、最初にセクション管理者に連絡して ください。セクション管理者は、製品の完全性を確認するために「製品」をテストします。それ以 降の取引には保証が必要です。

TestProduct-Edited

一方、信頼された、または有名なメンバーは、通常、保証人なしで取引を終えます。しかし、そ うすることは、彼らの評判がすべての取引と一致していることを意味します。

 

ワールド・コネクション外

他のコミュニティと同様、地下では定期的な軽いやりとりがあります。メンバーは、技術と方法 を議論し、ツールとコードの断片を共有し、質問し、回答を受け取ります。良いアドバイスや役 立つツールがあれば、他のメンバーに評判のポイントを与えて感謝の気持ちを示すことができ ます。

しかし、これはゲーテッドコミュニティではありません:

NewsSite 地下ニュースサイト

これらのフォーラムや地下生活への影響(BTC 取引の財務変化からセキュリティ会社の新し い業績への影響など)についても、世界中のニュースで議論されています。参加者は、サイバ ーセキュリティ業界のニュース、特にサイバー犯罪者の逮捕に注意を払うことが重要です。サ イバー犯罪者はしばしば悲しいまたは不幸なイベントを参照し、哀悼の意を表します。


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa1-Edited


Severa11-Edited

Severa13-Edited

 

Severa14-Edited
セヴェラの逮捕に関するコメント(ポジティブ/ネガティブコメントや陰謀説を含む)

 

逮捕について議論するトピックが作成され、進行中の事件に関する情報が共有されます。参 加者は、通常、「根本原因の分析」の議論に参加して、逮捕がどこで起こったのか、そして犯し た可能性のある間違いを理解します。これらのスレッドは、地下コミュニティが常に安全とセキ ュリティを実践していることについての一般的なリマインダとして提供されます。

Safety1-Edited
Safety1-Edited

紛争解決

シンプルで一般的に受け入れられている規則が存在するにもかかわらず、この生態系に混乱 がないわけではありません。場合によっては、2 人以上のメンバーが解決しなければならない 紛争に遭遇することがあります。地下社会はそのような問題に対処する仕組みを提供してい ます。仲裁人は信頼できるフォーラムメンバーによって指名されます。彼らは、裁判所での裁 判と同様に、訴訟を審査し、両当事者が提出した請求および事実に基づいて決定を下します。

このようなプロセスを開始するための事前定義された手順があります。いわゆる検察官は、フ ォーラムの仲裁セクションに新しいスレッドを作成し、その主張を裏付ける証拠を提供します。 次に、仲裁人は、請求の「被告」に通知し、彼ら自身の物語の側面および提供できる証拠に応 じて、クレームに対応する時間を与えます。

ConflictResolution-Edited

クレームが妥当であると判明した場合、被告と検察官は、被告が義務を履行し、事件は終了 するという合意に達することができます。被告が義務を履行することを拒否した場合、仲裁人 は被告を「リッパー/詐欺」とマークし、被告人が有罪判決を受けたことを示すブラックセクショ ンに本件を移します。

この時点から、誰もが被告人がブラックリストに載っていることを知ります。これは被告の評判 を破壊し、誰もそれらを再び扱わない可能性が高くなります。ある人がブラックリストに登録さ れたかどうかを確認できるサービスも存在します。このようなケースの知られた例として、約束 を果たさなかったために禁止された有名な Kronos マルウェアの売り手 "VinnyK"があります。

VinnyK1 VinnyK2

レピュテーション(評判)

フォーラムは、活動のために互いに「競争する」可能性はありますが、ラスベガスのカジノが既 知の不正行為を禁止しているように、管理レベルでは大きな協力をしています。誰かがある場 所でブラックリストに登録されると、すぐに他のメンバーからブロックされます。したがって、ブラ ックリストに載ることは、地下コミュニティ全体に非常に深刻な影響を与えることは間違いあり ません。

Complaints

複数のフォーラムでの詐欺師の不満

地下社会の評判を汚すもう一つの方法は、他のサイバー犯罪者のコンテンツに非難を表明す ることです:独自の情報または使用中のソリューションの公開は、技術的に良い情報や有用な 情報(例えば、出版を目的としないツールのソースコードなど)にかかわらず、メンバーによる 削除要求の対象となります。そのような内容を掲示し、削除要求を無視しているメンバーは、 評判を「下げる」投票という形でコミュニティの怒りに直面することになるでしょう。 これらの負 のポイントが多すぎると、プラットフォームが使用できなくなる可能性があります。

Idiot-Edited

あるフォーラムのメンバーが、使用中のマルウェアのソースコードへのリンクを投稿しました が、代わりにマイナス評価ポイントを得て、別のメンバーが彼を馬鹿と呼んでいました。

どのコミュニティにも、他のメンバーを騙すことに専念しているユーザーがおり、多くのボードで 広く知られています。数千ドルのためにコミュニティのメンバーを騙した二人のニックネーム 「w0rm」と「Abs0lem」は、「scammer」という言葉と同義語になりました。これらのアクターたち は、ブラックリストに登録された後に別のニックネームで掲示板に現れましたが、詐欺を認める ことと借金を返済することを拒否しました。地下のコミュニティは、この不適切な行動に反応し て、乱用者を抑制する最後の手段をとりました。どちらも インターネット上で情報が晒され、そ のプロフィールは一般に公開され、法執行機関の注目を集めました。

Dox1
Dox1

地下フォーラムでのユーザー "w0rm"のドキシング(晒し)

もしあればの話ですが、怪しい取引が地下のコミュニティの注意を逃れることはほとんどありま せん。以前 Trustwave SpiderLabs ブログで、Terror Exploit Kit とその売り手 KingCobra につ いて話しました。これはコミュニティのより多くのベテランメンバーが迅速に短所を検出し、加害 者をその場所に置く方法の興味深い例でした:

 

TerrorComplaint1

Terror exploit kit の作者によって実行される暗号化サービスについてのクレームスレッド(https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/underground-scams-cutting-the-head-off-a-snake/)

TerrorComplaint2 既に Terror EK を試みたメンバーは同じ男だと報告し、 別のメンバーは skype 上で "King Cobra"によって無視されていると報告しています


NeptuneEK-Edited
チャリティー

地下社会で不当な取引が行われていることは間違いありませんが、コミュニティ全体を悪の源 と断定してしまうのは不公平です。 フィランソロピー円卓会議は、すべての米国の慈善団体収 入の 71%は個人からのものであり、地下コミュニティのメンバーは、彼らが気にしている原則 と原因を持つ個人でもあります。いくつかのフォーラムでは、主に休日や特別イベントを中心と した病院や孤児院の恒久的な資金調達イベントを実施しています。これらのイベントの一部へ の寄付は 7,000 ドル以上に達しました。発生した資金は、小児科手術の進歩に向けられ、孤 児院に寄付され、孤児のために必要な器具、備品、贈り物を購入するために使用されました。



Charity1-Edited


Charity1-Edited


Charity1-Edited

 

地下社会は、不法な物やサービスを取引する秘密の場所をはるかに上回るところですが、皮 肉なことに個人の評判がすべてを支配し、行動規範が消費を導く本格的な社会です。詰まる 所、セキュリティは人の問題であり、白と黒の帽子の間でネコとネズミのゲームが行われ、敵 を勉強すれば多くのことが得られます。孫子の有名な言葉です。「敵を知り、己を知っているな ら、100 回の戦いの結果を恐れる必要はありません。己を知っていても、敵を知らないのであ れば、勝つこともあれば負けることもあるでしょう。敵も己も知らなければ、必ず負けるでしょ う。」