>
Insiktレポート

Caught in the Net:インフォスティーラー(情報窃取型マルウェア)のログを使用してCSAMの消費者を暴く

投稿: 2024年7月2日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

概要

この概念実証レポートでは、Recorded FutureのIdentity Intelligenceが、児童性的虐待資料(CSAM)の消費者を特定するために、インフォスティーラーマルウェアデータを分析しました。 約3,300人のユニークユーザーが、既知のCSAMソースのアカウントを持っていることが判明しました。 注目すべきは、4.2%が複数の情報源の資格情報を持っており、犯罪行為の可能性が高いことを示唆しています。 この調査では、インフォスティーラーログが、ダークウェブでのCSAMアクティビティを追跡する際に調査員にどのように役立つかが明らかになりました。 データは、さらなる行動のために法執行機関にエスカレーションされました。

Caught in the Net:インフォスティーラー(情報窃取型マルウェア)のログを使用してCSAMの消費者を暴く

背景

インフォスティーラーマルウェア は、ログイン資格情報、暗号通貨ウォレット、支払いカードデータ、OS情報、ブラウザのCookie、スクリーンショット、自動入力データ などの機密性の高いユーザー情報を盗みます。 一般的な配布方法には、フィッシング、スパムキャンペーン、偽の更新Webサイト、SEOポイズニング、マルバタイジングなどがあります。 一般的な感染経路は、ライセンスされたソフトウェアを違法に入手しようとするユーザーに販売されている「クラックされた」ソフトウェアです。 「インフォスティーラーログ」と呼ばれる盗まれたデータは、サイバー犯罪者が購入できるダークウェブソースにたどり着くことが多く、ネットワークやシステムにアクセスできる可能性があります。

.onionドメインを持つTorベースのWebサイトが提供する匿名性は、CSAMの生産と消費を促進します。研究によると、.onionのごく一部しかありませんが、 WebサイトはCSAMをホストしており、ダークウェブの閲覧活動の大部分はこれらのサイトを対象としています。

方法論

この概念実証レポートでは、 Recorded FutureのIdentity Intelligence が、インフォスティーラーマルウェアデータを活用して、児童性的虐待資料(CSAM)の消費者を特定し、追加のソースを明らかにし、地理的および行動的傾向を明らかにしました。 当社の信頼性の高い評価は、インフォスティーラーのログデータの性質とその後の調査に由来しています。

複数のCSAMソースにアカウントを持つ3人の個人のサンプル調査は、複数のCSAMアカウントを持っていることは、子供に対する犯罪を犯す可能性が高いことを示している可能性があることを示唆しています。 この研究は、インフォスティーラーログが、法執行機関が追跡が困難なダークウェブでの児童搾取を追跡するのに役立つことを示しています。 関連するすべての調査結果は当局に報告されています。

私たちの調査では、既知の忠実度の高いCSAMドメインのリストを作成し、Recorded Future Identity Intelligenceデータを照会して、これらのドメインへの資格情報を持つユーザーを特定しました。 Insikt Groupは、World Childhood FoundationやAnti-Human Trafficking Intelligence Initiative(ATII)などの非営利団体と協力して、 Recorded Future Intelligence Cloudに問い合わせることで、このリストを拡大しました。 この反復プロセスは、追加の CSAM ソースを特定するのに役立ちました。

次に、Insikt Groupは、2021年2月から2024年2月までの既知のCSAMソースにリンクされた認証記録について、インフォスティーラーログ情報へのリアルタイムアクセスを提供するRecorded FutureのIdentity Intelligenceに問い合わせました。 重複除外は、OSのユーザー名とPC名を比較することで実行しました。

調査結果

Insikt Groupは、既知のCSAM Webサイトへのアクセスに使用される3,324の一意の資格情報を特定しました。 このデータにより、ユーザー名、IPアドレス、システム情報など、個々のソースとユーザーに関する統計を収集することができました。 この詳細なデータは、法執行機関がCSAM Webサイトのインフラストラクチャを理解し、CSAM消費者が身元を隠すために使用する手法を明らかにし、潜在的なCSAM消費者と生産者を特定するのに役立ちます。

3つのケーススタディで、Insikt Groupは、インフォスティーラーログとオープンソースインテリジェンス(OSINT)に含まれるデータを使用して2人の個人を特定し、3人目の個人に属する暗号通貨アドレスを含むさらにデジタルアーティファクトを発見しました。

PoC調査では、インフォスティーラーログを使用して、CSAMコンシューマーとCSAMコミュニティの新しいソースと傾向を特定できることが示されています。

インフォスティーラーログとマルウェア・アズ・ア・サービス(MaaS)エコシステムに対するサイバー犯罪者の需要が高まり続ける中、インシクトグループは、インフォスティーラーログデータセットがCSAMコンシューマーに関する現在および進化する洞察を提供し続けると予想しています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連