制限的な法律により、中国のサイバー犯罪は新たな収益化手法に向かう
編集者注:脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
このレポートでは、中国語を話す脅威アクターがサイバー犯罪活動を促進するために使用するインターネットソースの構造を分析しています。 特に、中国語のダークウェブマーケットプレイスやサイバー犯罪関連のTelegramチャネルでの広告、投稿、インタラクションに焦点を当てています。 また、中国におけるデータセキュリティとサイバー犯罪に関する中国の法律および規制の影響も考慮に入れています。 本レポートは、2021年に実施した中国のサイバー犯罪の状況と近隣諸国における中国のサイバー犯罪に関するレポートの続編です。 セキュリティ関連の脅威をより適切に監視するためにサイバー犯罪のアンダーグラウンドを理解しようとしている組織や地政学アナリスト、および中国語のアンダーグラウンドを研究している人々にとって、これは最も興味深いものとなるでしょう。
Executive Summary
中国では、国家に対する統制を強化するサイバーセキュリティ法が可決され続けているため、通常は標的となる企業が個人を特定できる情報(PII)データをより適切に保護することが求められているため、サイバー犯罪に悪影響を及ぼしています。 それにもかかわらず、(中国国民と国際機関の両方の)PIIデータは依然として広く侵害され、ダークウェブマーケットプレイス、特別アクセスフォーラム、Telegramチャネルで販売されています。 さらに、暗号通貨取引を禁止する新しい法律、銀行規制の強化、電気通信(通信)やオンライン詐欺の新たな取り締まりにより、サイバー犯罪者が中国で活動することは引き続き困難になっています。 その結果、サイバー犯罪者はその活動を海外に移し、PIIデータを武器にして不正行為を行う新しい方法を考案しました。
私たちは、昨年出現した新しい中国語のダークウェブマーケットプレイスと、サイバー犯罪に特化した人気のある中国語のTelegramチャンネルを分析しました。 英語とロシア語の特別アクセスフォーラムで、中国語と台湾に関連するPIIとアクセスサービスを調査し、ランサムウェアの脅威アクターに初期アクセスを提供する方法を分析しました。 また、中国のサイバー犯罪業界におけるいくつかのユニークな詐欺と、それらが前述のダークウェブマーケットプレイスの提供物にどのようにさかのぼることができるかについても調査しました。 最後に、中国と台湾の間の地政学的な緊張が、今後数年間で両岸のサイバー紛争をどのように形成するかについて、いくつかの分析を提供しました。
主な判断
- 中国の個人情報保護法(PIPL)とデータセキュリティ法(DSL)の制定は、中国政府がデータセキュリティに真剣に取り組んでいることを示しています。 暗号通貨の取引、マイニング、広告の禁止、マネーロンダリングに対する新しい規制、通信およびオンライン詐欺に対抗するための新しい法律により、サイバー犯罪者が中国および近隣諸国で活動することはますます困難になっています。
- ビッグデータによって可能になるデジタル経済を目指す中国の動きは、ハッカーの攻撃対象領域を開き、データを脆弱なままにしており、その結果、過去1年間に多数のPIIデータの漏洩につながるいくつかの注目を集めるデータ侵害が発生しました。 脅威アクターは、サイバー犯罪者を通じて収益化するために、大量のデータを収集して分析し、それらをより具体的なグループや個人を含む小さなデータセットに整理して解析している可能性が高いです。
- 上記の課題にもかかわらず、中国語のダークウェブマーケットプレイスは進化を続けており、オフラインになった古いマーケットプレイスに代わる新しいマーケットプレイスが出現しています。 Telegramは、Telegramチャネルでデータセットや悪徳活動を頻繁に宣伝する脅威アクターでダークウェブ市場を補完するために使用されてきたため、中国のサイバー犯罪シーンでも重要な役割を果たしています。
- 中国語のダークウェブマーケットプレイスに海外から流出したデータが増え、英語やロシア語の犯罪者ソースに中国語や台湾のデータとアクセスが投稿されるようになると、サイバー犯罪者にとっての国境はますます曖昧になってきています。
- 中国のサイバー犯罪者は、高度なスピアフィッシングスキームを通じて個人を特定できる情報(PII)を武器に詐欺を行う革新的な方法を考案し、国境を越えた活動においてより組織化されています。
背景
中国のサイバー犯罪の状況に関する前回のレポートでは、中国語のダークウェブ市場、クリアネットのハッキングフォーラムやブログ、メッセージングプラットフォームを取り上げました。 これらのソースの特徴と、中国語を話す脅威アクターの戦術、技術、手順(TTP)を、それぞれの文化的、政治的、法的特性の文脈で分析しました。 近隣諸国における中国のサイバー犯罪に関するレポートでは、リソースが豊富な中国のサイバー犯罪組織が海外、特に法律が緩和された東南アジア諸国に活動拠点を移し、それが世界規模で詐欺(CryptoRomマルウェアを使用したオンラインロマンス詐欺など)を永続させる傾向を明らかにしました。 中国がデジタル経済に向けて前進し、データセキュリティを強化し、通信詐欺やサイバー犯罪を取り締まるための新しい法律や規制を制定するにつれて、サイバー犯罪者にとって環境はますます困難になっています。 しかし、新たな社会経済的および技術的発展は、TTPを絶えず更新しているサイバー犯罪者にとって、新しい環境で生き残り、成功するための機会を提供します。
脅威分析
中国のサイバー犯罪の状況に影響を与える法律と規制
このセクションでは、過去1年間に施行されたさまざまな法律や規制が中国のサイバー犯罪の状況に直接影響を与え、特に民間企業によるPIIデータの収集と保存、中国政府による暗号の使用とマイニングに対する継続的な取り締まり、詐欺や犯罪行為を助長する活動を阻止するために設計された法律についてまとめています。
PIPLとDSLの制定
2021年11月1日、2021年8月20日に全国人民代表大会で 可決 された中国の個人情報保護法(PIPL)が施行されました。 PIPLは、欧州連合(EU)の一般データ保護規則(GDPR)に相当する中国版と見られており、同国の企業に対するコンプライアンス要件をさらに追加することが期待されていました。 中国政府は、ユーザーのプライバシー侵害につながった管理ミスや誤用に対する一般市民の苦情が寄せられる中、ユーザーデータのより安全な保管を確保するよう、ハイテク大手に指示しました。 法令では、個人情報の取扱いは明確かつ合理的な目的を持たなければならず、「取扱いの目的の達成に必要な最小限の範囲」に限定しなければならないと定められています。 また、個人の同意を得ることなど、企業が個人データを収集するために従わなければならない条件や、データが国外に転送される際のデータ保護を確保するためのガイドラインも示しました。 また、個人情報の取扱者に対して個人情報保護責任者を定めるとともに、法令遵守のための定期的な監査を行うことも求めています。 PIPLの実施は、2021年9月21日に施行されたデータセキュリティ法(DSL)の可決後に行われ、企業がデータの経済的価値と中国の国家安全保障との関連性に基づいてデータを分類するフレームワークを設定しました。 PIPL と DSL は、将来的に中国のインターネットを管理するための 2 つの主要な規制を提供します。
Didiがデータセキュリティ違反で罰金を科される
2022年7月21日、中国のインターネット規制当局は、配車サービス大手の滴滴出行(Didi)に対し、その貪欲なデータ収集ポリシーと機密性の高いユーザー情報に関するセキュリティ保護の精彩を欠いたとして、12億ドルの罰金を科しました。
中国サイバースペース管理局(CAC)は、同社のネットワークセキュリティレビューを終了し、「違法行為」と同国のネットワークセキュリティ法(DSLおよびPIPL)の違反を発見したと述べました。 この罰金は、中国がこれまでに出した最大のデータ保護罰金であり、規制当局が昨年、独占禁止法の調査を受けてアリババに27億5000万ドルの罰金を科した後、中国のテクノロジー企業に課せられた罰金としては2番目に大きいものでした。
CACは、2021年に開始されたDidiの調査中に、約1,200万人のユーザーの写真アルバム、1億700万人の乗客の顔認識プロファイル、および大量のユーザーのPPIデータの違法な収集を含む16の違反が見つかったと述べました。 中国の規制当局によると、滴滴出行は何百万もの機密性の高いユーザー記録を暗号化せずに保管しており、「国家安全保障上のリスク」を引き起こしているという。
同社のアプリは、ドライバーに関する「過剰な」情報も収集しており、ユーザーのデバイスに広くアクセスできるようにするためのデバイスの許可を求めることがよくありました。 CACの広報担当者は、同社が収集している情報が必要な理由について「不正確で不明瞭な」説明を持っていると批判した。
CACは、今後数年間でサイバーセキュリティおよびデータ保護法の施行を「強化」する予定であると述べました。
暗号通貨のマイニング、取引、広告の禁止、およびデジタル人民元の導入
中国は2013年以来、暗号通貨業界と敵対的な関係 を維持し てきましたが、2021年の最新の取り締まりは最も厳しいと見られていました。 気候への影響に関する懸念を理由に、国務院は2021年5月に仮想通貨のマイニングと取引の制限 を求め 始めました。 この声明を受けて、内モンゴル自治区などの地方政府は、仮想通貨マイニングを根絶するための積極的な措置を講じ始めました。 その結果、これらの地域のマイナーは、永久に閉鎖されるか、他の暗号に友好的な国に移動することを余儀なくされました。 2021年8月、CACはソーシャルメディアプラットフォームに、「金融革新の名の下に」暗号通貨を宣伝していた12,000のアカウントを終了する よう命じ ました。 パージされたアカウントは、Weibo、Baidu、WeChatなど複数のプラットフォームにまたがっていました。 また、暗号通貨の売買のチュートリアルを実行していた105のウェブサイトも閉鎖されました。 2021年9月、中国当局は仮想通貨マイニングに対する新たな取り締まりを命じ、事実上すべての仮想通貨取引活動を違法化しました。
2022年初頭、中国中央銀行はデジタル人民元(デジタル通貨電子決済(DCEP)、電子人民元(e-RMB)、電子人民元)を発行し、2021年後半に中国のさまざまな都市で試験的に導入され、2022年2月の北京冬季オリンピックで世界デビューを果たしました。これは、ブロックチェーン技術に依存して取引を行う中央銀行デジタル通貨(CBDC)ですが、規制当局によって中央管理され、法定通貨の準備金によってバックアップされています。 また、プライバシーと匿名性に優れた暗号通貨とは異なり、デジタル人民元は、データに直接アクセスできるため、政府が取引に対して前例のない可視性を提供します。 また、政府が支払いを発行または停止できるように、プログラム可能にすることもできます。 すでに10カ国がCBDC を立ち上げ ており、さらに多くの国が検討しています。
すべての中国語のダークウェブ市場は、ビットコイン、テザー、イーサリアムなどの暗号通貨で運営されています。 ダークウェブマーケットプレイスのセクションで後述するように、そのようなマーケットプレイスの多くがオフラインになる一方で、新しいマーケットプレイスが出現しました。 中国政府による取り締まりとデジタル人民元の発行の結果、暗号通貨取引はさらにアンダーグラウンドに追いやられ、ダークウェブ市場で行われることが増えるでしょう。
マネーロンダリング防止のための規制
マネーロンダリングに対抗するための新しい規制が中国の中央銀行によって発行され、2022年3月1日に発効する予定でした。 しかし、「技術的な理由」により 延期 された。
新しい規制では、50,000元(6,904米ドル)、または外貨で10,000米ドルを超える現金の入出金を1回行う人は、お金の出所と使用目的を報告する必要があります。 中国人民銀行(PBoC)、中国銀行保険監督管理委員会、中国証券監督管理委員会が先月発行した共同命令によると、関連取引を扱う銀行やその他の認可金融機関も顧客の情報を検証し、保存する必要があります。
この規制を批判する人々は、金融機関に自己の裁量で入出金を制限する権限を与えることで、個々の財産権を効果的に侵害し、資本の流れを抑制し、中国経済の回復を妨げる可能性があると主張した。 暗号通貨取引の禁止と相まって、この新しい規制により、中国国内のサイバー犯罪者が収益を現金化するのが難しくなります。
テレコムおよびオンライン詐欺に関する法執行機関
2022年9月2日、第13期全国人民代表大会(全人代)常務委員会第36回会期中に《中华人民共和国反电信网络诈骗法》が可決され、2022年12月に施行される予定です。
この法律は、過去10年間に中国で通信およびオンライン詐欺が横行するようになったときに可決されました。 サウスチャイナ・モーニング・ポスト紙は、近年、犯罪者が高度な通信ネットワーク技術を通じて被害者の情報を違法に取得し、管理の抜け穴を利用し、この活動が横行し、公安と社会の安定に深刻な脅威をもたらしていると 報じ ました。 犯罪シンジケートは、明確な分業により組織化され、中国の人々を騙す目的で複数の国で活動を行うことができるようになったと報告されています。
この法律は、通信事業者、銀行および金融機関、ノンバンク決済機関、およびインターネットサービスプロバイダーに不正防止セキュリティの主要な責任 を課しています 。 これらの組織は、内部リスクの防止、制御、およびセキュリティシステムを確立することが期待されています。 この法律は、中国領土内外に適用され、通信ネットワーク詐欺活動を行う海外の組織または個人は、この法律の関連規定に従って責任を問われます。
同法は、中国の外務省と公安省がこれらの犯罪を取り締まるために、国際的な法執行機関とより緊密に協力しなければならないと規定している。 この法律は、ホットスポットの国や地域、特に東南アジア諸国を頻繁に訪れる容疑者に対して、そのような地域への旅行の正当な理由を提供できない限り、警察に旅行制限を課す権限を与えています。 また、元犯罪者は、刑期を終えてから最長3年間、渡航禁止の対象となる場合があります。
ビッグデータと大規模なデータ侵害への動き
ガートナーの定義によると、ビッグデータとは「大量、高速、および/または多種多様な情報資産であり、洞察力、意思決定、プロセスの自動化を可能にする、費用対効果の高い革新的な形式の情報処理を必要とする」とされています。
ブルッキングス研究所によると、中国政府の多くの部門が監視 目的で膨大な量の データを収集しており、当局はこれを「視覚化」(可视化)および「警察情報化」(警务信息化)と呼んでいます。 中国のデータ融合プログラムにより、監視システムは自国民の非常に詳細な情報を収集することができる。 中国政府は、データフュージョンツールを利用して、「政府に請願する個人、テロに関与したとされる個人」、および中国政府が「社会の安定を損なう」と判断する個人を含む「フォーカス要員」に分類される個人の情報を監視、収集、保存しています。 ブルッキングス研究所は、これらのデータ融合ツールは、新疆ウイグル自治区の予測的な警察システムの構築にも役立ち、「テロリストの『宗教的、組織的、行動的特徴』を正確に描写する」のに役立っていると指摘している。
個人の機密情報を過度に監視、収集、保存することは、中国の法律の下では違法ではありません。 中華人民共和国個人情報保護法第28条および第33条では、法律は中国の警察などの国家機関が機密情報を取り扱うことを認めており、中国政府が合法的に収集および/または保存できるデータの種類の範囲と制限は、国家機関が決定することに委ねられています。 関連する情報の種類には、生体認証、宗教的信念、PII、医療、金融口座、個人の居場所、その他の情報、および14歳未満の未成年者の個人情報が含まれます。
The development of the big data industry was also seen as a key aspect of the 14th Five-Year-Plan period [2021-2025] as China’s industrial economy moves toward a digital economy. The big data industry had an average compound annual growth rate of over 30% during the 13th Five-Year Plan period [2016-2020]. New requirements were proposed for the development of the big data industry to allow it to enter a new phase of integrated innovation, rapid development, in-depth applications, and structural optimization. The drive toward big data was further accelerated during the COVID-19 pandemic. However, security is unable to catch up with the rapid growth of data collection, as evidenced by some high-profile data breaches reported during the past year. Threat actors have managed to obtain large volumes of data that contain extremely sensitive information, and then analyzed and repackaged these data sets into smaller data sets that have been resold on both Chinese- and non-Chinese-language cybercriminal sources.
北京と上海のHealth Codeアプリのデータ侵害
COVID-19のパンデミックが始まって以来、中国は国民に、公共の場で許可するか隔離するかを決定するための電子パスポートとして機能するスマートフォンのアプリを使用することを要求してきました。 このアプリは、電子商取引大手アリババの姉妹会社であるアント・フィナンシャルの協力を得て、杭州の地方政府によって最初に発表されました。 アプリは3色のうち1色でQRコードを生成します:緑色のコードにより、所有者は無制限に動き回ることができます。イエローコードは、所有者が7日間自宅にいるように求められる可能性があることを意味します。赤いコードは2週間の検疫を意味します。 ニューヨーク・タイムズ紙がアプリのソフトウェアコードを 分析 したところ、このアプリは、誰かが感染リスクをもたらすかどうかをリアルタイムで判断するだけでなく、ユーザーの情報を警察と共有していたため、プライバシーに関する懸念が生じていた。 ヒューマン・ライツ・ウォッチの中国調査員、王麻耶(Maya Wang)氏によると、「中国は、2008年の北京オリンピックや2010年の上海万博などの主要なイベントを利用して、本来の目的を超えて長持ちする新しい監視ツールを導入してきた実績がある」という。 王麻耶氏はまた、「コロナウイルスの発生は、中国における大量監視の広がりの歴史における画期的な出来事の一つであることが証明されている」と付け加えた。
プライバシーに関する懸念に加えて、Health Codeアプリに関連するデータベースのセキュリティが不十分であったため、以下で説明する2件のデータ侵害が広く公表されました。
2022年4月28日、北京市政府の職員である魏斌(Wei Bin)氏は、COVID-19のパンデミック時に健康コードの確認や核酸検査結果の提供に使用されたモバイルベースのアプリ「Beijing Jiankangbao(北京健康宝)」が海外のハッカーに攻撃されたと発表した。 「北京建康宝は、訪問のピーク期間中の木曜日の朝に攻撃されました。 技術者チームは問題を迅速に解決しました」と魏氏は記者会見で述べ、「後で攻撃の発信源が海外からだったことがわかりました」と付け加えました。 Wei氏は、2022年の北京冬季オリンピックの際にも、このアプリが海外のハッカーに攻撃されたと主張しています。 これまでのところ、アプリのデータがダークウェブのマーケットプレイスやフォーラムで提供されているのは確認されていません。
2022年8月10日、中堅のBreachForumsのメンバーである「XJP」は、今年初めに侵害された北京の医療コードに相当する上海の「随身码(Suishenma)」の4,850万人のユニークユーザーのデータを販売していました。 Suishenma Health Codeは、2020年初頭に上海市政府の機関であるShanghai Big Data Centerによって、地方自治体がCOVID-19の発生を管理するのを支援するために 開発されました 。 これは、公共交通機関を利用したり、公共の場に出入りしたりする前に、グリーンコードを提示することが求められた上海の住民の日常生活に欠かせないデジタルツールとなりました。 脅威アクターのXJPは、Shuishenmaアプリの採用以降に上海に住んでいた、または上海を訪れたすべての人がデータベースに含まれていると主張し、データサンプルのスクリーンショットを共有しました。 データベースの価格は 4,850 ドルでしたが、後に 4,000 ドルに値下げされました。 XJPは、Matrix(breach.co:XJP)を主な連絡方法として使用しています。 この投稿は検証済みとしてリストされ、XJP は BreachForums の管理者である pompompurin が脅威アクターに代わってこのデータベースの取引を行うことを許可しました。 投稿に対する多くのコメントはデータベースへの関心を示していましたが、ほとんどの人は、値下げされても高すぎると考えていました。 興味深いことに、この投稿では、ヘルスコードアプリを示すために(正しい随身码ではなく)漢字の随伸码が使用されており、XJPが中国語を母国語としない可能性があることを示唆しています。 2022年9月9日、XJPは、2020年7月から2022年7月の間に中国の国境を越えた人々の情報が含まれているとされる中国の国境出入国管理局からのデータの販売も申し出ました。 脅威アクターは、データベースには2億4,000万件以上のレコードが含まれているが、不完全であり、外交訪問に関するデータが含まれていない可能性があると述べています。 データベースの価格は 100,000 ドルでした。 XJPの信頼性は中程度で、この脅威アクターは2022年7月にアカウントを登録して以来、5つのスレッドと20の投稿を作成しており、このレポートの時点での評判スコアは92です。
図1:中国・北京市の4,850万人の住民のQRヘルスコードを販売するXJP(出典:BreachForums)
上海警察のデータベース侵害
2022年7月3日、ユーザー「ChinaDan」がBreachForumsに投稿した、上海国家警察からの中国国民に関する23TBの個人情報のデータ漏洩に関するニュース報道が浮上しました。 ラジオ・フリー・アジアによると、漏洩したデータベースはアリババクラウドがホストしていた可能性が高いとのことです。ロイター通信が 報じ たように、BinanceのCEOであるZhao Changpeng氏は2022年7月4日、同社の脅威インテリジェンスが「ダークウェブ上のアジア諸国の10億人の居住者」に属するレコードの販売を検出した後、暗号通貨取引所がユーザー検証プロセスを強化したと述べました。
Recorded FutureはChinaDanが共有したサンプルデータを取得しており、データには1995年から2019年までさかのぼる氏名、自宅住所、出生地、国民ID番号、携帯電話番号、犯罪/事件の詳細が含まれていることを確認できます。 データサンプルの予備評価では、データが本物であるように見えることが示されています。 しかし、データパッケージの意図されたサイズを考えると、パッケージ全体が宣伝されているものかどうかを確認することは不可能です。
図2:BreachForumsで上海警察のデータベースを販売するChinaDan。BreachForumsのポムポムプリンの所有者は、データベースが正当であることを確認しました(出典:BreachForums)
何百万もの顔を保存する中国のデータベース。オンラインで露出したままの車両のナンバープレート
2022年8月30日、TechCrunchは、数百万人の顔と車両のナンバープレートを保存する中国のデータベースが、2022年8月にひっそりと姿を消すまで、数ヶ月間インターネット上に公開されていたと 報じ ました。 最盛期には8億件以上のレコードが保持されていたとされるこのデータベースは、杭州に拠点を置くXinai Electronicsというハイテク企業が所有していた。 同社は、職場、学校、建設現場、駐車場などで、人や車両のアクセスを制御するシステムを構築しています。 Xinai Electronicsは、中国全土のカメラネットワークを通じて数百万の顔写真とナンバープレートを収集し、そのデータはサーバーに「安全に保存されている」と主張していました。
アリババがホストする中国サーバー上の公開されたデータは、セキュリティ研究者の アヌラグ・セン氏によって発見され、彼はTechCrunchにセキュリティの失効をXinaiに報告するための支援を求めました。 センは、データベースもホストされている画像ファイルもパスワードで保護されておらず、どこを見ればよいかを知っている人なら誰でもウェブブラウザからアクセスできると報告しました。 TechCrunchが公開されたデータベースについてXinaiに通知するメールを数回送信した後、返信はなく、2022年8月中旬までにデータベースにアクセスできなくなりました。
サイバー犯罪市場でこのデータベースに直接言及している投稿は確認されていませんが、中国語のダークウェブマーケットプレイスでは、自動車の所有者情報の広告がよく見られます。 たとえば、中国のゼネラルモーターズの車の所有者に関する詳細情報のこの投稿を見つけました。 中国の脅威アクターは、漏洩した大規模なデータベースを特定の特性に基づいて小さなサイズに解析し、より簡単に収益化するために一般的な手法であるため、ここで提供されるデータが上記の公開されたデータベースからのものかどうかは確認できません。
ペロシ氏の訪問をめぐるDDoS攻撃とハクティビズム
2022年8月3日、ナンシー・ペロシ米下院議長が台湾を訪問し、台湾(中華民国)の蔡英文総統と会談しました。 ペロシ氏は、米国は「台湾に対するコミットメントを放棄しない」と 宣言 し、蔡総統は台湾が脅威に直面しても「決して引き下がらない」と述べた。 2022年8月2日から2022年8月3日にかけて、中国はペロシ下院議長の訪問に対して強い警告を発し続け、台湾を罰し、米国の台湾に対するさらなる支援を抑止することを目的とした政治的、軍事的、経済的措置を取った。 2022 年 8 月 4 日、The Record by Recorded Future は、台湾の国防部が、ペロシ下院議長の台湾訪問後約 2 時間にわたって分散型サービス拒否 (DDoS) インシデントによりネットワークがオフラインになったと発表したと 報じ ました。攻撃はペロシが島を去った直後に始まった。 レコードの記事は、「中国政府高官は、25年ぶりの米国高官による訪問に激怒し、それが国の「一つの中国」政策に違反していると主張した」と述べています。 台湾国防部は声明で、DDoS攻撃は23時40分頃に始まり、00時30分(台北時間)頃に終了したと述べました。 同省は、政府の情報セキュリティインフラストラクチャを守るために、他の機関や大統領府と協力していると述べました。 この攻撃は、ペロシ氏の訪問に先立って、外交部や桃園国際空港など、台湾政府が運営するいくつかのウェブサイトが混乱したことを受けて行われた。
攻撃は、Webサイトが短時間アクセスできなくなるほど大規模でしたが、特に大規模ではありませんでした。 ISC Sansやその他のサイバーセキュリティ組織は、DDoS攻撃は中国の正式な民間または軍事サイバー部隊ではなく、中国のナショナリストハクティビストの仕業である可能性が高い と示唆 しています。
政府が支援する大規模なサイバー攻撃の証拠がないにもかかわらず、MandiantのJohn Hultquist氏は、中国のサイバースパイ活動が「政府が『米国が何を考えているのか、我々の決意の限界は何か』を学ぼうとしているため、『オーバードライブ』が始まる」 と予想 し、「外交官や軍人、政府指導者のメールを読むことで答えを見つけることができる」と述べた。
中国語の地下組織で台湾に対するDDoS攻撃について直接言及されているものは見つかりませんでした。 しかし、DDoSツール、チュートリアル、およびサービスは、中国語のサイバー犯罪市場で宣伝されることがよくあります。 興味のある人なら誰でも、小規模な攻撃を成功させるためのツールと知識を簡単に習得できます。
ダークウェブ市場の変化
2021年に中国のサイバー犯罪の状況に関する前回のレポート以降、ダークウェブマーケットプレイスの構成に顕著な変化が見られました。 Loulan City Market、Tea Horse Road Market、Ali Marketplace、Dark Web Exchangeなど、いくつかのマーケットプレイスがオフラインになりました。 ただし、これらのマーケットプレイスに付随するTelegramチャネルの一部は引き続き運営されています。 これらのダークウェブマーケットプレイスがオフラインになる理由はいくつか考えられますが、これには法執行機関の措置、出口詐欺、脅威アクター間の内部意見の不一致などがありますが、これらに限定されません。
本レポートの執筆時点でまだ運営されているマーケットプレイスには、Exchange Market、FreeCity Market、Alibaba Market、United Chinese Escrow Market(UCEM)などがあります。 一方、このレポートの時点では、ダークウェブの中国市場、天狗市場、長安眠れぬ夜の3つの新しいダークウェブマーケットプレイスが登場し、まだ運営されています。 以下は、これら3つの新しいマーケットプレイスのそれぞれの説明です。
ダークウェブ 中国市場
ダークウェブの中国市場に関する最初の投稿は、2021年9月のものでした。 マーケットプレイスへの登録は無料で、リストは次のカテゴリに分類されます。
- 有料広告(このレポートの時点では、このセクションの下にリストはありません)
- データ:PII、カーディング材料など、盗まれたさまざまなデータ
- チュートリアル:ハッキング手法、ソーシャルエンジニアリング、詐欺スキームなど
- 物理的なアイテム:主に銀行口座アクセス用の4つのID(中国の銀行口座アクセスの標準)のセット
- 動画: 主にアダルト コンテンツ
- バーチャルアイテム:カーディングのチュートリアル、偽造書類のテンプレートなど
- ソフトウェアサイト:各種合法・違法ソフト、SMS受信サービスなど
このレポートの時点では700点のアイテムが販売されており、投稿は米ドルとビットコイン(BTC)でリストされています。 売り出し中の投稿には、販売されたアイテムの数、アイテムの評価、アイテムが投稿された時間などの情報があります。 売り手の情報は、プライバシー保護のために完全に匿名化されています(売り手のハンドルネームは提供されません)。
取引のエスクロー期間は5日間で、取引は5日後に自動的に確認されます。 延長が必要な場合、ユーザーは注文フォームで「システムからの自動支払いを停止する」と指定する必要があります。 売り手からの配達が1日以上遅れた場合、買い手は払い戻しをリクエストし、その理由を記載することができます。 取引に紛争がある場合、各当事者はリクエストに対処するために3日間の猶予があります。 3日以内に返信がない場合、自動的に仲裁に負けます。 ウェブサイトの匿名性により、利用可能な情報に基づいて管理者が特定されることはありません。
図3:ダークウェブ中国市場のランディングページ(出典:ダークウェブ中国市場)
天狗市場
天狗市場での最も古い売り手登録は2022年3月からでした。 マーケットプレイスへの登録は無料で、リストは次のカテゴリ(逐語的)に分類されます。
- BTC関連:コインミキシングサービス、パスワードを紛失しない暗号通貨ウォレット、ウォレットのパスワードクラッカーなど
- データベース:パスワード付きのメールアドレス、米国の運転免許証、ブラックハット検索エンジン最適化(SEO)チュートリアルなど
- 物理的なもの:携帯電話カード、偽造時計など
- エンターテインメント:さまざまな種類のゲームとソフトウェア
- オンライン SMS: Google の音声番号とその他の SMS 受信サービス
- Geek-Tech:リモートアクセス型トロイの木馬(RAT)、ハッキングツールとチュートリアルなど
- Mysterious:カーディング材料とその他のチュートリアル
- ギフトカード:PayPalアカウント番号とパスワード
このレポートの時点では約60の投稿があり、BTCが受け入れられる唯一の通貨の種類であるにもかかわらず、投稿は米ドルでリストされています。 売り出し中の投稿には、販売されたアイテムと残りのアイテムの数、アイテムの評価、販売者のハンドルと評価などの情報が含まれています。 各販売者のページには、品質、コミュニケーション、配送のカテゴリで評価があります。 このウェブサイトでは、取引ごとに7%の処理手数料がかかります。 出品された商品に注文が入った後、5時間経っても支払いがない場合、取引は自動的にキャンセルされます。 また、このウェブサイトでは、紛争のある取引の仲裁も提供しています。 さらに、このWebサイトには、チャットルームとテレグラムチャネルが関連付けられているようです。 ウェブサイトの管理者はいないようです。ただし、チャットルームには、中国語で「管理者」を意味する「管理员」というハンドルネームのメンバーがいます。
図4:天狗マーケットのランディングページ(出典:天狗マーケット)
長安眠れぬ夜
The earliest post on Chang’An Sleepless Night was from December 2021. Registration for the marketplace is free and listings are divided into the following categories:
- 有料広告:ショッピングやギャンブルのデータを購入するための勧誘を含むいくつかのリスト
- データ:PII、保護医療情報(PHI)、ローンおよび小売データなど、さまざまな盗難データ
- 動画: アダルト コンテンツ
- 技術スキル:ハッキング技術、ソーシャルエンジニアリング、詐欺スキームなど
- カーディングとCVV:カーディング資料とチュートリアル
- 物理的なアイテム:銀行口座へのアクセス(中国でのアクセスの基準)、薬物などのID4つのセット。
- サービス:ハッキング、マネーロンダリング、その他の違法なサービス
- プライベートトランザクション:登録ユーザー間のプライベートトランザクション
- 仮想アイテム:漏洩したデータベース、アカウントの資格情報、偽造ドキュメントのテンプレートなど
- その他:その他のチュートリアルと詐欺
本稿執筆時点では1,600点以上の商品が販売されており、掲載物は米ドルとBTCで掲載されています。 一部のアイテムは、テザー(USDT)とイーサリアム(ETH)にもリストされています。 売り出し中の投稿には、販売されたアイテムの数、閲覧数、売り手のハンドルネーム、売り手が最後にオンラインになった時間などの情報が含まれています。 マーケットプレイスはエスクローサービスを提供しており、ウェブサイト外での取引は推奨されません。 購入した商品が支払いから3日後に送信されない場合、または取引後に紛争が発生した場合、販売者が3日後に応答しない場合、購入者は管理者に通知しながら取引を一時停止することができます。 管理者による確認後、取引の費用は購入者に返金され、商品はオフラインになります。 取引収益の一定割合は、ウェブサイトのメンテナンスのための手数料として差し引かれます。 市場の公式テレグラムチャネルは@cabycされており、管理者はWebサイトのメッセージングサービスを使用するか、@ganmaoのテレグラムを介して匿名で連絡できます。
図5:「Chang'An Sleepless Night」のランディングページ(出典:「Chang'An Sleepless Night」)
以下は、前回のレポート以降の為替市場の新たな動向に関するいくつかの見解です。
為替市場における中国の脅威アクターとの競争の激化
2022 proved to be a popular time for Chinese threat actors to compete against the well-known Chinese threat actor “302513”, who has a moderate credibility on the Exchange Market, having more than 100 posts on leaked data affecting international entities since the relaunch of Exchange Market in Q4 2019. 302513 has indicated in their listings that reports have already been lodged against more than a dozen sellers, and that these sellers are recycling and reselling the data they bought from 302513. 302513 claims that other database sellers simply created new listings and resold the databases on the Exchange Market platform.
Exchange Marketには、プラットフォームのリストにあるデータセットを再パッケージ化して再販する個人を取り締まるルールがないことがわかりました。 このプラットフォームには、302513のような売り手のための保護メカニズムがなく、それが長年のデータベース売り手の金銭的利益を圧迫しています。 このような観察は、Exchange Marketがゆっくりと進化し、中国語を話す脅威アクターがデータベースリストを売り込むためのより認知度の高いプラットフォームになっていることも示しています。 時間が経つにつれて、より金銭的な動機を持つ脅威アクターがExchange Marketに参加し、複数の国や業界が関与するデータベースを販売するようになると予想しています。
図6:Exchange Marketの販売者は302513他の中国の脅威アクターが302513のデータをリサイクルしてExchange Marketで転売していることに不満を漏らしています。脅威アクターは、12社以上の販売者に対して報告を提出しています(出典:Exchange Market)
サイバー犯罪に特化した中国語のテレグラムチャンネル
前述のように、ダークウェブマーケットプレイスに付随する一部のTelegramチャネルは、それらのマーケットプレイスがオフラインになった後も運営を続けています。 一方、カーディング、詐欺、データの漏洩、その他の違法行為に従事する多くの独立した中国語チャネルがあります。 これらのチャネルの一部は最初は広告を許可していませんが、時間の経過とともに、多くのチャネル、特にダークウェブマーケットプレイスに関連するチャネルは、広告で溢れかえっているように見えます。 以下の表は、ダークウェブマーケットプレイスに関連するTelegramチャネルと、独立して運営されているチャネルの一部を示しています。 これらの一般にアクセス可能なチャネルの性質は、その名前からほとんど自明です。 追加の情報は、必要に応じてメモセクションに記載されています。
今は亡きTea Horse Road Marketに関連するテレグラムチャンネル
グループ名 | メンバーシップ | メモ |
茶马古道【数据交流】(Tea Horse Road [Data Exchange]) @Tea_group1 |
4,093 人の登録者 | |
茶马古道【黑产交流】(Tea Horse Road [Black Market Exchange]) @Tea_group2 |
2,060 人の登録者 | |
茶马古道【担保交易】(Tea Horse Road [Escrowed Transactions]) @Tea_group3 |
7,037 人の登録者 | エスクロー取引を行うと主張し、広告やチャットを禁止する |
茶马古道【账号交流】(Tea Horse Road [Account Exchange]) @Tea_group4 |
2,429 人の登録者 | 4つのID、QQアカウント、WeChatアカウント、AliPayアカウントなどのセット |
茶马古道【查档定位】(Tea Horse Road [Searching and Locating]) @Tea_group5 |
2,279 人の登録者 | オンライン検索を行うため |
茶马古道【技术交流】(Tea Horse Road [Technical Exchange]) @Tea_group6 |
1,969 人の登録者 | |
茶马古道会员群【会员专属】(Tea Horse Road【会員限定]) @Tea_vip |
3,055 人の登録者 | ティーホースマーケットの認証されたメンバーとされるグループ。 |
茶马古道【暗网综合】(Tea Horse Road [Dark Web Comprehensive]) @Cmsvip |
9,638 人の登録者 | Telegramによって詐欺チャネルとしてマークされました |
表1:ティーホースロードマーケットに関連するテレグラムチャネル(出典:テレグラム)
今はなき楼蘭市市場に関連するテレグラムチャンネル
グループ名 | メンバーシップ | メモ |
楼兰城-暗网楼兰城-暗网交易资源 (楼蘭市 - ダークウェブ 楼蘭市 - ダークウェブ Exchange Resource) @uQJifwRpZ |
14,797 人の登録者 | |
楼兰暗网 OTC/USDT 担保交易所 (Loulan Dark Web OTC/USDT Escrow Exchange) @loulananwang |
8,190 人の登録者 |
表2:楼蘭市市場に関連するテレグラムチャンネル(出典:テレグラム)
今は亡き668市場に関連するテレグラムチャンネル
グループ名 | メンバーシップ | メモ |
668 暗网商城 |综合|担保 (668 Dark Web Market |包括的 |エスクロー) @RR668 |
13,446人の登録者 |
表3:668マーケットに関連付けられたテレグラムチャネル(出典:テレグラム)
(アクティブな)FreeCityマーケットに関連付けられたTelegramチャンネル
グループ名 | メンバーシップ | メモ |
暗网自由城自由交易 (Dark Web Free City Free Exchange) @Freecityescrow |
1,298 人の登録者 | 管理者は@freecityadmin |
暗网自由城官方担保交易市场 (Dark Web Free City Official Escrow Exchange Market) @freecitysocial |
5,545 人の登録者 | |
自由城暗网 教程 (Free City Dark Web Tutorials) @Freecitystudy |
1,260 人の登録者 | |
自由城骗子曝光 (Free City Scammers Exposed) @Freecityexpose | 226 人の登録者 | |
暗网自由城市场 咸鱼 小姐 资源 社工库 四套件 (Dark Web Free City Market, Salted Fish, Girls, Resources, Social Engineering Databases, Sets of 4 IDs) @Freecitysocial101 | 3,420 人の登録者 |
表4:FreeCity Marketに関連するTelegramチャンネル(出典:Telegram)
(アクティブな)長安眠れぬ夜に関連するテレグラムチャンネル
グループ名 | メンバーシップ | メモ |
Cabyc 长安不夜城 暗网担保交易 防诈骗 绝对可靠 (Cabyc Chang'An Sleepless Night Dark Web Escrow Exchange, Prevent Scams, Absolutely Reliable) @cabyc |
5,212人の登録者 | 管理者が@ganmao |
暗网担保交易 长安不夜城 官方频道 (Dark Web Escrow Transactions Chang'An Sleepless Night Official Channel) @cabycout |
397 人の登録者 |
表5:長安眠れぬ夜に関連する電報チャネル(出典:電報)
独立した中国語の詐欺関連のテレグラムチャネルの例
グループ名 | メンバーシップ | メモ |
扫号器 数据库 破解 数据 密正 撞库 (スキャナー、データベース、クラッキング、データ、辞書攻撃) @Saohaoqipojie |
6,065 人の登録者 | 管理者 @jmpojie、VIP グループには有料メンバーシップが必要です |
暗中帝国国际网赚(ダークエンパイアインターナショナルオンラインマネーメイキング) @anzhongdiguoxiangmu |
4,522 人の登録者 | |
加特林梳理 更新早知道 (Jia Te Lin Carding, First to Know the Updates) @cvvhv |
8,016 人の登録者 | 人気の中国語カードチャンネル、admin @jiate |
数据-CVV-邮箱-12606,黑产交流与交易 (Data-CVV-Email-12606, Black Market Exchange and Transactions) @shuju1 |
6,693 人の登録者 | |
ディープ暗网tor洋葱浏览器黑市外围灰产防骗举报投诉交易所(ディープダークウェブTorブラウザブラックマーケット、グレーマーケット外の詐欺防止レポート、交換市場) @xxdeep |
6,178 人の登録者 |
表6:一部の独立した中国語のサイバー犯罪Telegramチャネルの例(出典:Telegram)
英語・ロシア語フォーラムへの中国・台湾関連の投稿
前述の中国語のダークウェブマーケットプレイスに加えて、中国や台湾に関連する侵害されたデータやアクセスは、Exploit ForumやBreachForumsなどのトップおよびミッドティアの特別アクセスフォーラムで、そのような販売を専門とする確立された脅威アクターによって宣伝され、販売されることがよくあります。 これらの脅威アクターの中には、純粋に金銭的な動機を持ち、日和見主義的なものもあれば、イデオロギー的に推進されているように見えるものもあります。 ランサムウェアの攻撃者は、侵害された有効な資格情報ペアを使用して、侵害されたネットワークへのリモートアクセスを実現し、攻撃を開始します。 ランサムウェアの脅威に気づき、データセキュリティに注目する組織が増えるにつれ、ランサムウェアギャングは標的を拡大し、もはや欧米の組織を主な対象としなくなりました。 例えば、多作なことで悪名高いLockBitギャングは、最近、中国と台湾で数人の被害者を主張していました。 以下は、ダークウェブまたは特別なアクセスソースに最近投稿されたデータと初期アクセスの提供物のリストです。
脅威アクター | インテリジェンス |
「0B0LTUS」 | On January 3, 2022, 0b0ltus, a member of the now-defunct mid-tier Raid Forums, was selling 2.4 million hospital records (dated 2021) from an unspecified China-based hospital, or hospitals, that include the following PII: full names (Chinese), phone numbers, doctor information (identification numbers, names, locations, and more), and diagnosis data. The database is priced at $600, and the threat actor uses Telegram (@ob0ltus), Jabber (0b0ltus@conversations[.]im), and email (0b0ltus@protonmail[.]com) as points of contact. The credibility of 0b0ltus is high: the operator has authored 33 threads since registering on the forum in November 2019 and has a positive reputation score of 177. |
「ケルビンセキュリティ」 | 2022年10月13日、中堅のBreachForumsのメンバーであるkelvinsecurityは、Da Ai Television(daai[.]tv)、台湾のテレビチャンネル。 侵害された情報には、完全な電子メールデータベースだけでなく、ユーザーの電子メールアドレスとパスワードも含まれます。 脅威アクターは価格を公然と指定しておらず、Telegram(@PoCExploiter)を主な連絡先として使用しています。 kelvinsecurityの信頼性は高く、オペレーターは2022年3月にアカウントを登録して以来、131のスレッドと164の投稿を作成しています。 このアカウントは、フォーラムで495の推薦を受けています。 |
「アゲインスト・ザ・ウエスト」 | 2022年9月5日、BleepingComputerは、TikTokがハッキンググループ「AgainstTheWest」による侵害を受けたという最近の主張を否定し、流出したソースコードとデータは同社と「全く無関係」であると主張したと[報じ](https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code)。 2022年9月3日、中国やロシアなど欧米の利益に反する国々の標的に対して法外なハッキングの主張をしてきたAgainstTheWestは、BreachForumsでTikTokとWeChatの両方を侵害したと主張するスレッドを開始し、両社のデータベースとされるもののスクリーンショットを提供しました。 TikTokはハッキングされたことを否定し、BreachForumsで共有されたソースコードはプラットフォームの一部ではないと主張し、漏洩したユーザーデータはスクレイピングを通じて取得できると示唆しました。 一方、WeChatはハッキングの主張に対して回答を出していません。 2022年9月6日、AgainstTheWestは、違反を適切に調査しなかったとして、フォーラムの管理者であるpompompurinによってBreachForumsから追放されました。 |
「みのり」 | 2022 年 1 月 5 日、今は亡き Raid フォーラムのメンバーである Minori は、中国を拠点とする China Telecom、China Mobile、China Netcom、CHINANET の内部ソース(SRC)、ファイル、脆弱性レポート、その他の内部データを販売していました。 脅威アクターは、スクリーンショットと、Monero(XMR)で350ドルで販売されているデータに含まれる企業のプロジェクトのリストを含めていました。 脅威アクターはXMPP(minori@0day[.]la)とTelegram(@reckendheck)を主なコミュニケーション手段として採用しています。 Minoriの信頼性は高く、ユーザーは2021年1月に登録し、フォーラムで56のスレッドを作成した後、1250の肯定的な評判スコアを持っています。 |
「ワルマ2022」 | 2022年8月12日、中堅のBreachForumsのメンバーであるWarma2022は、haoyisheng[.]コム およびcmechina[.]網 電話番号、ログイン名、パスワード、メールアドレス、住所、プロフィール写真などを含むウェブサイトを2,600ドルで手に入れました。 脅威アクターはJabber(warma@rows[.]IM) 連絡先として。 Warma2022の信頼性は低く、運営者は2022年8月に登録して以来、この投稿以前に投稿を行っておらず、このレポートの時点でフォーラムから追放されているようです。 |
「オレンジケーキ」 | 2022年5月23日、トップクラスのフォーラム「Exploit」のメンバーであるorangecakeは、年間収益9,900万ドルの医薬品および医療生産を専門とする台湾の不特定の企業にVPNおよびRDPアクセスをオークションにかけていました。 開始価格は700ドルですが、すぐに1,000ドルで購入できます。 オレンジケーキの信頼性は高く、オペレーターは2021年9月にアカウントを登録して以来、21のスレッドと投稿を作成しています。 このアカウントは、フォーラム上の多くの著名な脅威アクターから9つの推薦を受けており、いくつかの販売が示されています。 |
「ジロチカ」 | 2022年5月13日、トップクラスのフォーラム「Exploit」のメンバーであるzirochkaは、年間収益約1,200万ドルの不特定の中国企業にローカル管理者権限でRDPアクセスを競売にかけていました。 脅威アクターによると、ローカルネットワークには約17台のデバイスと8.5TBを超えるデータが流出しています。 開始価格は50ドルですが、すぐに70ドルで購入できます。 zirochkaの信頼性は高く、オペレーターは2016年7月にアカウントを登録して以来、56のスレッドと投稿を作成しています。 このアカウントはフォーラムで4つの肯定的な支持を受けており、多くの販売が示されています。 |
「ユアノンウルフ」 | 2022年6月20日、中堅のBreachForumsのメンバーであるYourAnonWolfは、台湾最大の通信会社であるChungHwa Telecomのリークされたデータベースを販売していました。 YourAnonWolfは、データベースが脅威アクター「SiegeSec」によってハッキングされたと主張し、データベース、ソースコード、ドキュメント、内部ユーザー情報を含む3〜4GBです。 この投稿には、連絡先としてSiegeSec(@SiegeSec)のTelegramハンドルが含まれていました。 YourAnonWolfの信頼性は中程度です:オペレーターは2022年3月にアカウントを登録して以来、12のスレッドと投稿を作成し、評判スコアは31です。 |
表7:中堅フォーラムで中国と台湾のエンティティのデータベースと初期アクセスを販売する脅威アクター(出典:Recorded Future)
中国のサイバー犯罪エコシステムに特有の詐欺
このセクションでは、中国のサイバー犯罪者によって行われたサイバー犯罪、例えば、法外な金利で中国と非中国の利益に対する違法な貸付行為、外国人に対するスピアフィッシング攻撃、暗号ロマンス詐欺、中国国外に拠点を置く中国人の詐欺などを調査しました。 私たちは、中国の脅威アクターが犯したよりユニークな詐欺のいくつかを調査し、ほぼすべてのケースで、サイバー犯罪者ソースで販売され流通したPIIデータを活用する新しい方法があることを確認しました。 脅威アクターが、高度なソーシャルエンジニアリングやスピアフィッシングのスキームを考案し、中国の役人や有名な企業体になりすまして、中国の国境内外で個人を騙し、侵害されたPIIを武器にしている証拠を特定しました。
中国の違法な貸付行為とダークウェブへの接続
2021年3月、サウスチャイナ・モーニング・ポスト紙は、数十億ドル規模の犯罪融資計画により、中国で89人が死亡したと 報じ ました。 このスキームは、年間5,214パーセントもの高複利をもたらした違法なローン契約に人々を閉じ込めました - 伝えられるところによると、ある男性は2,000元(305ドル)を借りた後、最終的に700,000元(107,000ドル)を借り、略奪的な貸付の悪循環に陥りました。 ワン・タオ(Wang Tao)という男が率いる無免許の金貸しギャングは、2018年3月から2019年3月の間に47万5000人と336万件の契約を結んだ。 この違法な事業は、「7日間無利子」や「低額で迅速なローン」などの魅力的な条件で、疑うことを知らない借り手を引きつけ、借り手が借金を迅速に返済できない場合、年利が1,303%から5,214%になることがよくありました。 また、ギャングは24の債権回収会社を雇い、被害者やその家族に嫌がらせ、脅迫、威嚇を行い、手数料を支払った。 当局は、この脅迫が直接的に一部の被害者が自ら命を絶つ結果になったと述べている。
ダークウェブマーケットプレイスから、脅威アクターが信用問題を抱えた中国人のPIIを販売しており、そのようなデータの購入者は高利貸しに関連している可能性が高いという証拠を見つけました。 この種の情報は、信用格付け機関から盗まれた可能性が高く、信用問題を抱える人々を搾取するために使用される可能性があることがわかりました。
中国のBNPL(Buy Now, Pay Later)市場は 成長していますが、過剰支出(個人が予定以上に消費する)や、サービスプロバイダーが支払い遅延に対して高額な手数料を請求するなどのマイナス面があります。 一部の個人は、このタイプのPIIがダークウェブで販売されているため、債務の返済に困難を抱え、オンラインの違法な貸付スキームに引っかかる可能性があります。
PIIの種類 | インテリジェンス |
信用問題のある個人 | 2022年9月15日、Exchange Marketのメンバーである「599731」は、銀行ローンの拒否者である中国国民の120,000件以上の記録を含むデータベースを39ドルでリストアップしました。 脅威アクターはデータのソースを共有していませんが、脅威アクターが共有したサンプルスクリーンショットには、氏名、ID番号、携帯電話番号、銀行が営業している都市、銀行によるローンの拒否理由などのデータフィールドが含まれています。 |
分割払いプランで購入する個人 | 2022年9月22日、Exchange Marketのメンバーである「724984」は、Fenqile(fenqile[.]com) 25ドルで。 Fenqileは、分割払いプランによる購入を容易にする中国のプラットフォームです。 脅威アクターは、SMSハイジャックを使用してデータを盗んだと主張しています。サンプルデータには、ユーザーがFenqileプラットフォームにログインする前に入力する必要がある6桁のワンタイムパスワード(OTP)番号も示されています。 脅威アクターが共有したサンプルスクリーンショットには、ログインに必要な6桁のOTPコード、電話番号、および住所データ(州と市区町村)のデータフィールドが含まれています。 724984の信頼性は中程度で、脅威アクターは2022年8月上旬以降、Exchange Marketに100件以上の投稿を行っています。 |
表8:経済的に脆弱な個人を標的とした詐欺の考案に寄与する可能性のあるPIIの種類(出典:Recorded Future)
これらのタイプのPIIは、無許可の金貸しギャングにアピールし、彼らは低金利で迅速なローンを約束して彼らを誘惑することにより、これらの無防備な個人に連絡することができます。 シンジケートは、これらの人々のグループが、銀行から正当なローンを引き受けることを拒否されたり、アイテムを購入するために分割払いプランを使用しなければならなかったりするため、経済的に脆弱になる傾向があることを知っています。 銀行ローンの拒否と高額な月々の返済義務の理由を知ることは、シンジケートが、個人を搾取して法外な金利を支払わせることを意図して、非合法的な銀行ローンを引き受けるように個人を説得するための、より洗練されたソーシャルエンジニアリングスキームを考案するのにも役立ちます。
図7:信用問題を抱えた中国国民のPIIを販売する中国の脅威アクターデータには、氏名、識別番号、携帯電話番号、銀行が営業している都市、および銀行ローンの拒否理由が含まれています。 中国の信用調査機関によってデータが盗まれた可能性があると考えています。 IDカード番号、電話番号、フルネームは検閲されています。 (出所:Exchange Market)
図8:中国の分割払いプロバイダーであるFenqileから盗まれたSMSレコード(出典:Exchange Market)
インド国民とダークウェブへの接続を標的とした中国の詐欺的な融資アプリ
2022年8月、Economic TimesのCIOは、中国のデジタルローンアプリが規制ガイドラインの抜け穴を利用して、既存のノンバンク金融会社(NBFC)と提携してインドの顧客をだましている と報告 しました。 これらの「フィンテック」企業がインド準備銀行から新たなNBFCライセンスを取得する可能性は低いため、中国のデジタルローン会社は既存のNBFCと共謀して大規模な融資活動にふけりました。 インド当局は、NBFCと共謀したさまざまなフィンテック企業が、略奪的な融資にふけり、法外な金利を請求し、支払い遅延に対して厳しい罰則を課し、違法に運営し、高圧的な回収戦略を採用していることを発見しました。 これらの中国のアプリは、被害者の連絡先にアクセスする許可を求め、後に同社によるあらゆる種類の恐喝に使用されました。 借り手は法外な処理手数料と金利を請求され、多くの個人が多額の借金を負い、一部の被害者は自殺することさえありました。
Recorded Futureのアナリストは、中国の脅威アクターが、インドのデジタル決済および金融サービス会社であるPaytmに属する顧客のPIIを標的にして盗んだという証拠を発見しました。 インド国民の記録は、上記の詐欺的な中国のデジタルローン会社に販売される可能性があり、その会社はデータを利用してデータベースで見つかった個人に連絡を取り、フィッシングやスミッシングキャンペーンを通じてデジタルローンを提供する可能性があります。
PIIの種類 | インテリジェンス |
インドのデジタル決済会社Paytmに所属するユーザーのPII | On September 19, 2022, 724984, a member of Exchange Market, listed a database with more than 8 million records of Paytm users for $50. Paytm is an Indian digital payments and financial services company. The sample screenshots shared by the threat actor include the following data fields: full names, phone numbers, email addresses, state information, gender information, and names of banks used to connect with the Paytm service. The credibility of 724984 is moderate: the threat actor has made more than 100 postings on the Exchange Market since early August 2022. |
表9:インドのデジタル決済会社Paytmに所属するユーザーのPII(インド国民を標的としたローン詐欺の考案に寄与する可能性が高い)(出典:Recorded Future)
図9:Paytmのユーザー、氏名、メールアドレス、電話番号のサンプルデータ(検閲済み)(出典:Exchange Market)
スピアフィッシングで日本の企業を標的にした中国の脅威アクター
2022年8月、Infosecurity Magazineは、日本のクレジットカード顧客がフィッシング攻撃の標的になっている と報じ ました。 Menlo Labsの研究チームは、日本のMICARDおよびAmerican Expressのユーザーを標的としたフィッシングキャンペーン を分析し たところ、問題の攻撃者が、ジオフェンシングを使用して日本のIPアドレスのみがWebサイトにアクセスできるように、偽のWebページへのリンクを含む潜在的なターゲットのなりすましメールを送信していることを発見しました。
Exchange Marketで中国の脅威アクターが、主に日本の企業を標的としたフィッシングWebサイトのソースコードを販売している証拠を発見しました。 脅威アクターは、日本の正規の銀行、電子商取引、および輸送Webサイトに見せかけたフィッシングツールキットを作成することに成功しています。
Exchange Marketのメンバーである717451は、ログイン資格情報とカード検証値(CVV)を盗む機能を備えたフィッシングWebサイトのソースコードを販売していました。 脅威アクターは、Netflix、Apple UK、Orient Corporationのフィッシングキットを20ドルでリストアップしました。アマゾンジャパンのウェブサイトフィッシングキットは50ドル。Ekinetのフィッシングキットは10ドルです。 717451の信頼性は低く、脅威アクターは2022年9月にExchange Marketに参加して以来、5回の投稿を行っています。
これらのフィッシングキットを作成した攻撃者は、日本語、日本文化、銀行、電子商取引、交通システムなどについて十分な理解を持っていると考えられており、日本国内に居住する中国人である可能性が考えられます。 脅威アクターは、スピアフィッシング攻撃の能力を日本の他の業界を標的にするために、さらに多くのフィッシングキットを構築し続けると予想しており、同様の戦術を他の外国のエンティティを標的にすることもできると予想しています。
図10:アマゾンジャパンのユーザーからログイン認証情報とCVVを盗むためのフィッシングキット(出典:Exchange Market)
中国公務員なりすまし詐欺
2022年9月、AsiaOneは、2022年1月から8月にかけて、シンガポールで中国当局者になりすました詐欺が合計476件報告され、損失額は少なくとも5,730万シンガポールドルに上ると 報告 しました。 中国語を話す脅威アクターは、通常、中国国外に住む中国国民に電話をかけ、多くの場合、法執行官を装います。 詐欺師は、被害者が犯罪を犯したと非難し、しばしば懲役刑で彼らを脅迫しました。 その後、彼らは通常、捜査や懲役刑を「回避する」ためにお金を払うように被害者を説得します。
AsiaOneの記事で引用されたケーススタディでは、詐欺師はシンガポールに住む16歳の中国人に電話をかけ、中国でCOVID-19の噂を広め、密輸犯罪に関与していると非難しました。 被害者が告発に反論すると、通報者は被害者に、母親が彼の身元を使用してそれらの犯罪を犯した悪意のあるアクターに彼の個人データを提供した可能性があり、中国本土の警察がさらなる調査のためにすぐに彼に連絡すると伝えました。 架空の中国警察が被害者に電話をかけたとき、詐欺の発信者は被害者に、母親がマネーロンダリングに関与しており、自白するように人質の状況を演出するように求められたと伝えました。 被害者は最終的に屈服し、人質として自分自身を撮影し、被害者が中国に無事に帰国するのと引き換えに、身代金の支払いを求めてビデオを母親に送りました。
また、2022年10月には、香港の大学教授が約400万香港ドルを 騙し 取られた同様の事件も発生しています。 このケースでは、詐欺師は、被害者が広州公安局が監督するCOVID-19検疫規則を無視し、中国本土でのマネーロンダリング事件に関与したとして、被害者を告発しました。これにより、彼は無実を証明するために中国銀行の口座詳細を含む個人情報を提出する必要がありました。 架空の捜査官は、恐怖と恐喝の戦術を巧みに利用し、3か月の間に合計384万香港ドルを送金しました。
私たちは、このような詐欺は、学生とその保護者のPIIや、海外に住む中国人のデータセットを含む大量のPIIデータが販売されているため、うまくいく可能性があると考えています。 以下の表は、Exchange Marketで販売されているPIIの例をいくつか示しており、シンジケートが海外の中国人を金銭的利益の対象とするのに役立った可能性があります。
PIIの種類 | インテリジェンス |
生徒と保護者 | 2022年9月9日、Exchange Marketのメンバーである「649795」は、中国本土に属する親と中学生の100万件以上のレコードを含むデータベースを650ドルで販売しました。 脅威アクターは、リストには現在中学校に通っている生徒の情報が含まれていると主張しています。 脅威アクターが共有したサンプルスクリーンショットには、保護者の氏名、対応する生徒の氏名、電話番号、生徒が通っている学校、クラス、生徒が通っているレベルなどのデータフィールドが含まれています。 |
米国に住む裕福な中国国民 | 2022年4月4日、Exchange Marketに加盟している「628546」は、アメリカ在住の富裕層中国人のレコード1万5000枚を500ドルで落札しました。 脅威アクターが共有したサンプルスクリーンショットには、中国語のフルネーム、米国の電話番号、性別情報、婚姻状況、中国の出身地、米国の州や都市を含む部分的な居住情報、職業情報、移民日などのデータフィールドが含まれています。 |
日本在住の華僑 | 2022年5月8日、Exchange Marketに加盟している「567285」は、日本在住の中国人のレコード4,000枚を640ドルで売却しました。 脅威アクターが共有したサンプルスクリーンショットには、中国語のフルネーム、日本の電話番号、性別情報、日本の州や都市を含む部分的な居住情報、婚姻状況、職業情報などのデータフィールドが含まれています。 |
中国居住者の核酸結果 | 2022年9月5日、Exchange Marketのメンバーである「737723」は、核酸検査結果(過去のCOVID-19感染を特定するために使用できる)に関連する中国市民の500万件以上の記録を含むデータベースを145ドルで販売しました。 脅威アクターは、核酸検査の期間を開示しておらず、核検査が実施された特定の州や町を特定していません。一部のデータフィールドが不完全です。 脅威アクターが共有したサンプルスクリーンショットには、氏名、国籍、電話番号、IDカード番号、健康コードの色などのデータフィールドが含まれています。 |
表10:中国の国境を越えて中国国民を標的とした詐欺の考案に貢献した可能性のあるPIIの種類(出典:Recorded Future)
2022年9月、Nikkei Asiaは、中国の詐欺師が通信信号を妨害して改ざんできる機器を利用し、発信者番号を変更して、被害者が公式の番号から電話を受けていると思わせたと 報じ ました。 一括メッセージングソフトウェアは、通知としてマスクされたテキストメッセージを送信するためにも使用されます。 マドリードに拠点を置く人権団体「セーフガード・ディフェンダーズ」が発表した 報告書 によると、中国は海外に住む汚職や金融犯罪の疑いのある約1万人の中国人を、脅迫や脅迫、さらには国家公認の誘拐など、秘密裏に、そしてしばしば違法な手段で帰国させている。 2022年9月にSafeguard Defendersが発表した 報告書 によると、中国政府は米国を含む30カ国に少なくとも54の警察が運営する「海外警察サービスセンター」 を設立 しており、これらのセンターは、中国にいる親族が警察に中国に戻るよう「説得」するのを助けない人物は、警察によって調査され、罰せられるべきであるとする政府文書を発行している。
Recorded Futureは、このような巧妙なフィッシング詐欺、スミッシング詐欺、ビッシング詐欺の被害に遭った被害者は、中国の法執行機関が金融犯罪の疑いで中国に強制送還することを心から恐れていると考えています。 2015年のフォーブス の記事 によると、中国では賄賂は暗黙のルールであり、多くの企業が事業運営のために賄賂を支払ったり、贈り物をしたりしているという。 また、2021年3月のNPR の記事 に見られるように、中国では「Pay Your Way Out」、つまり個人が迫害を回避したり、刑事告発を減らしたりするために中国の役人に賄賂を贈ることが可能であることは広く知られています。 中国のサイバー犯罪者は、金融犯罪に基づく強制送還の脅威、賄賂の文化、海外に住む中国人のPIIの侵害を利用して、中国の法執行機関の職員や詐欺被害者になりすますことに成功した可能性があります。 詐欺電話は通常、よく計画され、洗練されています。詐欺の発信者は通常、氏名、IDカード番号、中国国内の自宅住所、海外の住所、職業、家族の情報など、被害者のPIIの重要な詳細を知っています。 これらの詳細を所有することは、海外の中国人が電話が正当な中国当局からのものであるかどうかを判断するのが非常に難しい場合があるため、詐欺の発信者が被害者に恐怖を植え付け、被害者に詐欺師の要求に屈するように説得するのに役立ちます。
海外に住む中国人は、米国、シンガポール、カナダ、日本、ドイツなど、中国よりもはるかに生活費が高い第一世界の国に住むことができれば、一般的に裕福であるという認識から、しばしば標的にされます。 多くの裕福な中国人は、中国の「共同富裕」や「起業家を追いかける」という政治的レトリックの高まりや、COVID-19の厳しいロックダウンへの対応により、すでに中国からシンガポールのような国 に移住 しています。
女性を狙った暗号ロマンス詐欺
2022年6月、フィナンシャル・タイムズ紙は、仮想通貨詐欺師が愛を求める華人女性を食い物にしたと報じ、詐欺師が被害者の人生の貯金を騙す前にオンラインで恋愛関係を築く詐欺を行ったと 報じ ました。 詐欺師は通常、「KrakenCoin」や「Coinbase CCY」など、実際の取引所の名前を模倣した偽のWebサイトを作成します。 これらのウェブサイトには、24 / 7のオンラインカスタマーサービスとライブコインの価格変動を示すチャートがあり、最初は疑いを持たない女性が一部の資産を法定通貨に引き出すことを可能にし、プラットフォームを信頼するように彼女たちをだまします。 このタイプの詐欺は、豚の屠殺詐欺とも呼ばれ、男性と女性の両方に影響を与えます。
2022年8月、CACは、暗号通貨を宣伝するための12,000の暗号関連ウェブサイトとソーシャルメディアアカウントの削除 を命じ ました。 Weibo、Baidu、WeChatなど複数のプラットフォームのソーシャルメディアアカウントが閉鎖され、デジタル資産の購入、販売、マイニングに関するチュートリアルを宣伝および実行していた105のウェブサイトが閉鎖されました。 深セン市金融監督管理局は2022年6月、仮想通貨が犯罪行為を助長し、金融秩序を乱すと警告し、投資家に対して違法な金融活動に参加し、詐欺に遭う可能性があると警告しました。
中国のダークウェブで、脅威アクターが女性のPIIの記録を含むリストを持っているという証拠を見つけました。暗号通貨詐欺師は、このデータを悪用し、PIIが侵害された女性に対して使用する詐欺の戦術と戦略を考案する可能性があります。
PIIの種類 | インテリジェンス |
出会い系サイトからの女性データ | 2022年5月11日、Exchange Marketのメンバーである「565231」は、中国の出会い系サイトzhenai[.]コム 700ドルで。 脅威アクターが共有したスクリーンショットのデータフィールドには、顧客の名前、携帯電話番号とキャリア、生年月日、性別、個人ID番号、住所、雇用主、出生地が含まれます。 |
中国の女子大生 | 2022年9月17日、Exchange Marketのメンバーである「751891」は、広東省に拠点を置く中国の女子大生の240万件以上の記録を含むデータベースを300ドルで上場しました。 脅威アクターは、このデータは2022年8月に新たに取得されたもので、広東省の140の大学から収集されたデータに基づいて、ほとんどの学生は19歳から25歳の範囲であると主張しています。 脅威アクターが共有したサンプルスクリーンショットには、氏名、性別、学生と保護者のIDカード番号、生年月日、婚姻状況、民族、電話番号、メールアドレス、雇用状況、出身地情報、連絡先住所、および学生の保護者の個人情報などのデータフィールドが含まれています。 |
表11:女性を標的とした暗号ロマンス詐欺の考案に貢献した可能性のあるPIIの種類(出典:Recorded Future)
今後の展望
2022年10月23日、習近平国家主席は第20回全国代表大会で中国共産党総書記、中央軍事委員会(CMC)主席として3期目の任期 を確保し 、その権力をさらに強化しました。 習近平国家主席の党幹部への演説は、習主席がすでに経済的・社会的にマイナスのコストを被っているゼロコロナ政策をしっかりと 実施 する意向であることを示唆している。 経済的困難が増し、 若者の失業率が高い (20%近く)中、中国では現在、オンライン詐欺、特に消費者を騙して金銭的利益を得ることを目的とした数万件の偽造金融サービスアプリケーションが 増加 傾向にあり、これらの活動や犯罪組織に対しては、より厳しい新しい法律で取り締まりを続けるでしょう。 経済成長の鈍化と不満の蔓延により、経済的機会がないために、権利を奪われた若者がサイバー犯罪に手を染める可能性があります。 また、中国の下位レベルの脅威アクターの大多数は、金銭的利益のために、医療、金融、政府機関、教育機関など、中国の国内産業に対してサイバー攻撃を引き続き行うと予想しています。 より機知に富んだ脅威アクターは、サイバー事業を海外に移すか、ポートフォリオの多様性のために外国のデータ/アクセスにもっと焦点を当て、外国のサイバー犯罪者を募集して、グローバルエンティティに対するサイバー攻撃に参加するようになります。
激しいレトリックと警告にもかかわらず、ペロシ米下院議長の台湾訪問中に大規模なサイバー攻撃は発生しませんでした。 愛国者のハクティビズムに起因すると思われる低レベルのDDoS攻撃しかありませんでした。 しかし、習近平国家主席は、台湾を支配するための軍事力の使用 を決して放棄しない と誓ったため、米国や台湾との緊張が高まることは避けられません。 中国は台湾との再統一のタイムラインの存在を 否定 したが、最近の軍事指導者の入れ替えは、今後5年間およびそれ以降の台湾に焦点を当てること を明確に示していた 。 しかし、ロシアがウクライナ侵攻で軍事的に成功していないことと、侵攻後の国際的非難と制裁がほぼ満場一致であることは、中国が台湾への軍事侵攻を検討する場合の警告となるだろう。 大規模な軍事紛争が発生する可能性は低いと考えていますが、中国のサイバー戦部隊の配備や、ロシアや北朝鮮の脅威アクターが、米国とその同盟国、主に半導体産業にとって重要と思われる組織を標的に、混乱させ、破壊する可能性を伴ったサイバー戦争が勃発する可能性はあると考えています。
2022年10月28日、中国国務院は、中国が国家統合政府ビッグデータシステムを構築すると発表しました。 また、政府が利用できるデータも、電子免許、医療・ヘルスケア、危機管理、与信システムなどの情報に まで拡大 し、国家統合政務ビッグデータシステムに組み込む予定です。 統合されたビッグデータシステムは、サイバー犯罪者の目から見ると金鉱と見なすことができ、脅威アクターは新しいビッグデータシステムの侵入を試みるだけでなく、機密データを保持する他の国家機関を標的にし、データフュージョンプールを使用してデータセットを分析し、個人に対して武器化できる小さなデータセットに分解することが予想されます。 これらの小規模なデータセットには、違法な融資行為に関与する者や、政府関係者になりすまして詐欺を行うシンジケートなど、犯罪組織にアピールする情報が含まれている可能性が高くなります。
また、一部の中国企業は、個人を採用する前の身元調査の一環として、犯罪歴を含むデータセットを購入する可能性があると考えています。 また、過去の犯罪歴を持つ中国国民が、オープンソースの身元調査に関心のある人々のためにデータをまとめてウェブサイトに掲載する可能性もあり、これらの個人の社会経済的見通しに影響を与えることになります。 また、脅威アクターが侵害されたデータセットにある記録を微調整して元犯罪者のデータを操作する可能性もあり、その結果、犯罪歴のない人々が元犯罪者の記録を含むデータセットに含まれるなどの悪影響が生じ、採用される可能性に影響を与える可能性があります。
中国政府が政治的・経済的目標のための統合システムを推進することは、ネガティブな結果をもたらす可能性が高く、サイバー犯罪の状況は進化し、繁栄し、より多くの脅威アクターがPIIを武器化したり、さらには操作したりして、将来のデータ侵害が発生した場合に他の犯罪組織や組織のニーズに応えることができます。
関連ニュース&研究