犯罪アフェリエイトプログラムの実態 - トラフィック配信システム(TDS)とは
サイバー犯罪者は、ハッカー集団や単独の天才プログラマーとして描写されることがよくありますが、昨今は多くの場合、より大規模な犯罪経済の一環として商品やサービスを売買しています。
例えば、マルウェアとしてのサービス(malware-as-a-service、略称「MaaS」)の販売を手掛ける脅威アクターは、MaaS の買い手が犯罪を遂行するために必要なインフラに容易にアクセスできるようにしています。
本ブログでは、当社の顧客のネットワークで最も蔓延している脅威アクターであり、大規模な犯罪アフェリエイトプログラムを運営する「VexTrio Viper」に焦点を当て、彼らが活用している「トラフィック配信システム(TDS)」がどのようにサイバー犯罪に悪用されているのか掘り下げてご案内します。
推定 8 兆ドルのサイバー犯罪経済界において 「TDS」 が担う重要な役割を浮き彫りにした脅威調査レポートをご確認ください。
トラフィック配信システムとは
トラフィック配信システム(TDS:Traffic Direction System)とは、デジタル広告の表示を最適化するためのソフトウェアやインフラのことを指します。
企業がターゲットユーザーに対して効果的に広告を届けるために、このシステムを活用します。トラフィック配信システムは、データをリアルタイムで解析し、広告のクリック率やコンバージョンを最大化するための重要な役割を果たします。
このテクノロジーのおかげで、ユーザーに関連性のある広告を適切なタイミングで表示することが可能になります。
トラフィック配信システムの悪用
トラフィック配信システムの悪用は、さまざまな技術を駆使して実行されます。例えば、ボットネットを使用して自動化された不正なトラフィックを生成し、広告収入を不正に得る方法があります。
また、DNSを悪用して不正なIPアドレスにトラフィックを誘導することで、ユーザーが意図しないコンテンツやサービスに接続させられる場合もあります。
Infoblox が観察してきたTDSにはさまざまなバリエーションがあり、その中には、完全に DNS ベースで、要求者の IP アドレスのみに基づいて決定を下すものもあります。
インターネット上には侵害された WordPress サイトが多数存在します。脅威アクターにとって、こうしたサイトへの訪問者からできるだけ利益を吸い取るために TDS を利用することは自然な選択肢となります。
TDS は別のドメイン(アフィリエイトランディングページが通常ですが、別の TDS の可能性もあり)にユーザーをリダイレクトします。最終的なランディングページの内容は、いわゆるパブリッシャーによって決定されます。脅威アクターは、悪用目的で広告業界を全面的に模倣しています。
サイバー犯罪アフィリエイトプログラムを運営する「VexTrio Viper」とは
Vextrio Viper は、トラフィック配信システム(TDS)、類似ドメイン、登録ドメイン生成アルゴリズム(RDGA)の3つを組み合わせてマルウェア、詐欺、違法コンテンツを配信する大規模な犯罪組織を運営する常習的な脅威アクターです。
Vextrio Viper は DNS に非常に熟練しています。このスキルにより、他の多数の犯罪者のトラフィックを仲介する、史上最大のサイバー犯罪アフィリエイトプログラムを作成して運営することができています。
VexTrio Viper とそのアフィリエイトは、さまざまな攻撃ベクトルを通じて世界中のユーザーを標的にしています。これは、Infoblox が顧客ネットワークで観察した中で最も広範囲に及ぶ脅威アクターです。
VexTrioのビジネスモデル
VexTrio のアフィリエイトプログラムは、合法的なマーケティングアフィリエイトネットワークと同様に運営されています。
通常、各攻撃には複数の組織が所有するインフラストラクチャが関与します。参加アフィリエイトは、独自のリソース(侵害された Web サイトなど)から流入したトラフィックを VexTrio が管理する TDS サーバーに送信します。
VexTrioは、これらのトラフィックフローを条件付きで他のアクターの不正コンテンツや悪意のある他のアフィリエイトネットワークに中継します。
多くの場合、VexTrio は直接遂行するキャンペーンに被害者をリダイレクトします。
図 1 ではこのようなサイバー犯罪組織間のサービス取引が示されています。
VexTrio は 6 年間以上にわたり、Web サイト訪問者を悪意のあるコンテンツに誘導してきました。これほど長期間存続しているという事実は、ビジネスモデルの成功を裏付けるものです。
VexTrio は次の主要手順を使って、検出を回避し、インターネットサービスプロバイダーによるアセット停止活動に対する回復力を強化しています。
脆弱な Web サイトを直接侵害して、独立した自前の Web トラフィックソースを維持する
他のサイバー犯罪者から Web トラフィックを取得し、ターゲットへのリーチを最大化する
アフィリエイトネットワークを拡大、多様化し、テイクダウンの可能性を軽減する(アフィリエイトメンバーをいくつか削除しても、VexTrio の事業は停止しない)
通常のビジネス機能も実行する。例えば、アフィリエイトの紹介者を追跡したり、アフィリエイトのトラフィック貢献分を評価したりする
多段階の TDS リダイレクトチェーンを使用してトラフィックをフィルタリングする
合法的な本物のアフィリエイトネットワークで一般的に使用されている紹介リンクと重複する URL クエリパラメータ名を使用する
DDGA (Registered Domain Generation Algorithm)という RDGA (Registered DGA)の一形態を通じて動的に生成されるドメインを毎日大量に登録する
セキュリティオペレーションセンター(SOC)チームは HTTP ベースのログを調査する際、VexTrio の活動が無害なアフィリエイトネットワークと挙動が似ていることから、良性の広告トラフィックとして簡単に見逃してしまう可能性があります。
VexTrio は、Urchin Tracking Module(UTM)などの一般的な広告アフィリエイトキーワードと重複する URL クエリパラメータ名や、テクノロジーブランドを侵害する類似の TDS ドメインを使用しているため、SOC チームや研究者が VexTrio ドメインの告発の是非を検討するうえで、判断を一段と難しくしています。
さらに、命名パターンもホスティングインフラストラクチャも共有しないドメイン間で何度かリダイレクトを実行することで、関係分析を複雑化しています。最終的に今回の調査では、個々の攻撃の調査から手を引き、大局的な DNS 分析に対象をシフトさせました。
これにより、VexTrio の検出を自動化し、アフィリエイトネットワークの範囲に対する理解を深めることができました。
さらに詳細に「犯罪アフェリエイトプログラム」について知りたい場合は、以下の調査レポート(日本語)をご確認ください。情報情報を入力する必要なく閲覧・ダウンロードすることができます。
本調査レポートを発行した 世界で唯一の DNS エキスパート集団「Infoblox Threat Intel」の詳細情報は以下のサイトからご確認できます。