サイバー犯罪フォーラム Joker’s Stash が閉鎖:金融データの闇市場が大きく変化している

After Joker’s Stash shutdown, the market for stolen financial data looks a lot different

2021/12/20 CyberScoop — サイバー犯罪フォーラム Joker’s Stash が閉鎖されたことで、ダークウェブ上で取引される盗難ペイメントカード情報の市場全体に、持続性のある打撃が与えていると、研究者たちは指摘している。サイバー・セキュリティ企業である Group-IB によると、2020年半ばから2021年半ばにかけて、カーディング市場の規模は前年比で $1.9 billion から $1.4 billion に減少した。

FBI とインターポールは、2020年12月に同市場のデジタル・インフラを破壊し、2021年2月には閉鎖へと追い込んだ。このサイトでは、米国のレストランの利用者やインドの銀行の顧客などの、世界中のデータ・ダンプがホストされていた。この FIN7 と呼ばれるギャングのような犯罪グループは、そのフォーラムで顧客を捕まえる術を持っていた。(それらの顧客は無数の他サイトに散っていった)

このように、カーディング市場に変化が生じた一方で、カード・セキュリティの進歩などにより、フォーラムで取引されるデータの質が低下し続けていると、研究者たちは指摘する。しかし、ランサムウェアの登場をはじめとする最近のトレンドは、カード犯罪の生態系にも変をもたらしている。

カーディングの動向を監視しているセキュリティ Digital Shadows は、「ダークウェブで入手できる選択肢が狭まり、高品質の素材が不足しているため、サイバー犯罪者フォーラムのユーザーは、カーディングの状況を嘆くようになってきた。そのため、新しいソースや信頼できるベンダーを探している、犯罪者のスレッドをよく見かける。時には、フォーラム自体がハッキングされ、攻撃者が盗んだデータを流出させ、その価値をさらに低下することもある」と述べている。

脅威情報企業の Intel471 によると、「新しいマーケット・プレイスとしては、All World Cards/BINART/CC Shop/Dundee Shop/Flowcc/Hogwarts Market/Rockefeller’s Store/Wixxx などがあるが、Joker’s Stash の空白を埋めることができたダンプ・ショップや脅威アクターは存在しない」としている。

最盛期の Joker’s Stash においては、ATM などに物理的に取り付けたスキマーおよび、POS 端末のネットワーク侵害という2つのソースから、大半の盗難データがもたらされていた。最も被害を受けやすい金融取引は、磁気ストリップ付きのカードを使った取引である。しかし、チップを搭載したペイメント・カードには、2つの重要なセキュリティ上の利点がある。1つは、埋め込まれたデータの保護が強化されることであり、もう1つは、カードの複製による不正使用が難しくなることだ。

Group-IB は声明の中で、「現在のところ、銀行カードの EMV チップを完全に複製できる技術は広く普及していない。そのため、銀行カードのダンプを採取することを専門とするサイバー犯罪者は、さらなる課題に直面すると予想される」と述べている。なお EMV とは、このチップの規格を策定した企業であり、Europay/Mastercard/Visa の頭文字で命名されている。

このようなカーディング行為の一部は、ダークウェブを超えて拡大を続けている。Digital Shadows によると、Telegram や Discord などのメッセージン・グプラットフォームで、実際の取引が行われるようになったとのことだ。研究者たちによると、ダークウェブに残っているフォーラムの中には、マーケティング目的で使用されるものやや、カーディング関連データを購入するのに最適な、プラットフォームに関する情報を交換するためだけに使用されるものもあるようだ。

その一方で、詐欺師たちは、より質の高い投資に注目している。Group-IB のデータによると、個々のカード・ダンプが $1 million 以上で売られるケースは稀であり、最終的には侵害されたカードが解約されるため、その保存期間も限られている。また、ランサムウェアによる稼ぎは、はるかに高い天井を持っている。研究者によると、多くのカード詐欺師たちが、ランサムウェア活動に参加しようとしているようだ。

いまや、ペイメントカードのネットワークへの侵入は、被害企業のデータを暗号化して人質にするという、より大きな計画の第一歩に過ぎなくなっている。Group-IB は、「かつてカード会社に勤務していた脅威アクターの中には、最初に手に入れたアクセスを、ランサムウェアに応用することで、さらなる展開による収益を目指す者もいる」と述べている。研究者たちによると、Joker’s Stash には、今は亡きサイトを装う模倣者もいて、昔のトラフィックの獲得を目的としているとのことだ。また、このフォーラムの、かつてのライバルたちの中にも、チャンスを感じている者がいるようだ。Intel471 によると、2019年に人気を博したカーディング・ショップが復活したという。

Intel471 は、「ロシア語圏のアクターとつながりのある Rescator は、2021年12月に再び営業を開始した。Rescator が以前と同じ経営者により運営されているのか、それとも、新しい運営者がインフラを購入したのかは不明だが、古いサイトに紐付けられた認証情報が新しいショップでも有効であり、リンクがあることを示唆している」と述べている。

Digital Shadows は、「カーディングで儲けるには、詐欺師たちに宣伝料を請求するという方式もある。実際のところ、いくつかの駆け出しサイバー犯罪者フォーラムは、カーディング・サイトからの広告主が常に流入していることで存続している」と述べている。

カードをめぐる犯罪ですが、だんだんと厳しくなってきているようです。6月に「Eggfree という英国のケーキ屋がデータ侵害でクレカ情報を盗まれた」を、7月に「Magecart ハッカーたちは盗んだクレカ情報をイメージファイルに隠し持つ」を、11月に「Costco でクレジットカード・スキミングが発生:2月以降の決済で被害が続出」をポストしていますので、よろしければ、あわせて ど〜ぞ。

%d bloggers like this: