犯罪者の2極化、グーグル検索ではたどりつけない「ダークウェブ」の台頭
そしてこの進化はまた、犯罪者の2極化を生んでいる。すなわち、「犯罪基盤の提供者」と、「それを利用する行為者」である。このことは昨今のランサムウェアを利用した犯罪被害を正しく理解する上でも極めて重要なポイントである。
このようにサイバー犯罪が2極化する中で大きな役割を果たしたのが、いわゆる「ダークウェブ」という空間である。
ダークウェブは一般的に通常は検索エンジンなどでヒットすることのない、また匿名化通信専用のブラウザーを利用しないとアクセスできないような空間を意味するが、言い換えれば表社会からは見えない裏社会にあるコミュニティと考えれば良い。このダークウェブに次々に登場してきたのが、表社会では売買できないような違法な物品の販売で、その代表格は麻薬や武器である。
そしてボットネットの運用者たちは、このダークウェブの闇市場を利用して、サイバー犯罪を企む犯罪者たちに「基盤」を提供し始めたのだ。ダークウェブ上に構築された基盤は、金銭目的・スパイ目的・テロ目的・性犯罪目的など、サイバー犯罪者たちのさまざまな野心にとっての福音となった。
犯罪の自動化で、アマチュアの「参入」も
加えて、これまでは高度なエンジニアリング技術がないとサイバー犯罪を行うことは困難であったが、決してレベルの高くはない犯罪者たちも、犯罪基盤を通して容易に入手し、しかも多くの行為を自動的に行ってくれるようになった。
そしてこの基盤はマルウェア作成者たちにとっても大きなモチベーションとなった。その時々で高値が付くツールは変化するが、技術があればより高額で売れるツールにより比較的容易にお金を稼ぐことができるようになったのだ。
最近では、多くの顧客が利用しているOSやOffice系アプリといったソフトウェアなどを中心に脆弱性を発見し、それを正規の報告ルートではなく闇ルートに流し、それを購入したマルウェア作成者がエクスプロイトを作成、販売する、といった分業化もダークウェブを介して進んでいる。
表1:犯罪ツールの販売価格の例(出典:Shifts in Underground Markets - Past, Present, and Future)
法執行機関の「ダークウェブ対応」は?
もちろん、こうした違法行為の温床となっているダークウェブの存在を法執行機関が放置しているわけではない。ユーロポールが毎年開催しているサイバー犯罪レポート、IOCTA(Internet Organised Crime Threat Assessment)*2や法執行機関と民間の間で行われているサイバー犯罪に関する国際会議での発表などによれば、特にヨーロッパ地域では積極的に欧州警察機構(ユーロポール)のコーディネーションのもとで各国警察が連携してこうした闇市場に対するアクションを取っているという。
例えば、おとり捜査により闇市場の管理者権限を奪取して不正行為の証拠を抑え、犯人グループを検挙するといった作戦である。また、民間のインフラ事業者と連携してテイクダウン作戦なども頻繁に行われており、それを受けて犯罪者グループは大規模市場を捨てて小規模化し、コミュニケーションを暗号化するなど更に地下深くに潜り始めている。
*2 IOCTA