• TOP
  • 特集一覧
  • ハッキングした携帯電話やIoTデバイスから通信料金を詐取する通信業界におけるサイバー犯罪の手口とは
2018/11/30

ハッキングした携帯電話やIoTデバイスから通信料金を詐取する通信業界におけるサイバー犯罪の手口とは

メイン画像

トレンドマイクロは、欧州連合の法執行機関「Europol」と共同で、通信料金詐欺や、その一種である「International Revenue Share Fraud(国際レベニューシェア詐欺、IRSF)」に代表される通信業界におけるサイバー犯罪について調査を行い、「Toll Fraud, International Revenue Share Fraud and More: How Criminals Monetize Hacked Cellphones and IoT Devices for Telecom Fraud」と題するレポートを公開しました。

通信業界に関連する詐欺は決して新しい種類の犯罪ではありません。複数の形態を持つさまざまな手口が存在し、その多くは10年以上前から確認されています。このような犯罪は、最近まで法執行機関によってそれほど重要視されるものではありませんでした。しかし、技術の進歩、業界の成長、そしてサイバー犯罪手法の巧妙化により、通信業界に関連する詐欺は数十億ユーロ(2018年11月時点で数千億円)規模の犯罪となっています。

通信に関する詐欺の主な手口とその被害

通信業界に関連する詐欺の主な手口は、サブスクリプション詐欺と通信料金詐欺の2つです。サブスクリプション詐欺は、正規の顧客になりすました攻撃者が1つまたは複数の顧客アカウントへのアクセスを窃取する手口で、通信キャリアに対する「ビジネスプロセス詐欺(Business Process Compromise、BPC)」だと言えます。通信料金詐欺は、国際的な通信ネットワーク間での料金やり取りの仕組みを悪用した手口です。通信料金詐欺の被害額は比較的高額となる傾向があり、100万ユーロ(約130億円)を超える場合もあります。また、国境を越える犯罪であるため、この種の犯罪行為を起訴するのはさらに困難をきわめます。

通信料金詐欺は、国際的な通信ネットワーク間での料金やり取りの仕組みを悪用した手口です。通信料金詐欺の被害額は比較的高額となる傾向があり、100万ユーロ(約130億円)を超える場合もあります。また、国境を越える犯罪であるため、この種の犯罪行為を起訴するのはさらに困難をきわめます。

通信キャリア間の信頼関係を詐欺に悪用

IRSFは、利用者が有料サービスを利用するように仕向け、発生した余分な料金を関係者で分配する詐欺の手口で、通信キャリア同士で互いにハッキングや攻撃を仕掛けないという暗黙の紳士協定につけこむタイプの犯罪です。この世界的な合意は、関連銀行同士の信頼関係のようなもので、インター・キャリア・トラストと呼ばれています。攻撃者は、この信頼関係を悪用することにより、トラフィックの流れを操作し、詐欺やマネーロンダリングのような犯罪を実行します。銀行間におけるお金が、通信キャリア間での高額な通話料金に相当します。悪意のある通信キャリアがこの信頼関係の輪に参加した場合、トラフィックのリダイレクトを悪用し、ワイヤータッピングによる盗聴やクレジットカード情報の窃取、マルウェアの混入、そしてIRSFのような攻撃が可能になります。

IRSF は遠隔から実行可能で、高額な通信トラフィックの料金は通信キャリア間での請求を経由して支払われるため、攻撃者にとってはリスクが低く魅力的な手口だと言えます。また、攻撃者は、ユーザが利用している通信キャリアに支払われた料金を、共謀している通信キャリアからの支払いという形で迅速に引き出すことが可能です。

このような詐欺は、IoTデバイスに対しても実行可能なため、巻き込まれる可能性のある非常に多くのデバイスについて考慮する必要があります。例えば、インターネットに接続された冷蔵庫や交通信号を狙うサイバー犯罪は、より高額な利益を生み、より検出が困難なものになる可能性があります。あるいは、スマートシティのように、IoTデバイスが重要インフラストラクチャを構成しており、サイバー犯罪の結果、当該デバイスの通信がブロックされてしまった場合、重要インフラストラクチャの機能が停止してしまう恐れがあります。そのため、重要インフラストラクチャの運用に通信を利用する都市や企業は、サービスの継続を担保するために詐欺を防ぐことのできるセキュリティ体制を整える必要があります。

特にIRSFを中心に、通信業界に関連した詐欺がサイバー犯罪者の中で着実に人気を高めつつあります。詐欺に対処するための教育や情報共有を行う非営利組織「Communications Fraud Control Association(CFCA)」によると、いくつかの通信キャリアは、収入の18%にも上る金額が組織的な犯罪によって生成されたトラフィックに由来する可能性があると考えています。また、CFCAによる最近の調査では、有料情報サービスや通信設備の物理的な窃盗も含めた通信関連詐欺の影響は260 億ドル(約3兆円)以上に達すると見積もられています。しかし、規制を恐れた通信キャリアが詐欺による損失を報告せず、被害を甘受している可能性もあり、実際の影響は上述の数字よりも高いことも考えられます。

詐欺の被害は主に金銭的なものですが、犯罪行為で得た資金はテロリズムのような活動に対する供与の可能性など、二次的な影響も無視できません。

通信料金詐欺のさまざまな手口

通信キャリア間の信頼関係に基づく仕組みを悪用した通信料金詐欺は複数存在します。その1つは、通常料金よりも高い利用料によって、場合によっては非常に高額な請求となる「International Premium Rate Number(国際プレミアムレート番号、IPRN)」の使用です。IRPN詐欺は、通信料金詐欺の1つであるIRSFの一種です。IPRN詐欺には、ユーザからのトラフィックを本来の通信先とは別の通信先にリダイレクトする「ショートストッピング」または「通話ハイジャッキング」と呼ばれる注目すべき手法が含まれます。このような分類のそれぞれに、さらに数十種類の手口が存在し、各手口がさまざまな特徴や形態、そしてリスクを持っています。さらに、IPRN詐欺やその他多くの通信料金詐欺は、巨大かつ複雑な通信キャリア事業のサプライチェーンにおける「パイプ」の両端に位置する顧客と事業者の間に存在する悪意ある攻撃者によって実行されます。

例えば、もしサイバー犯罪者が通信キャリアに直接的に影響を及ぼせる環境にいる場合、携帯電話基地局と、その付近に存在するすべての携帯電話は、詐欺に対抗する術はほとんどありません。サイバー犯罪者の中には、有効範囲内の無線 IoT デバイスに影響を与えるために、オフィスや家庭向けに設置できる「フェムトセル」と呼ばれる小さな基地局を自身で設置する者もいます。有効範囲は半径100メートル程度ですが、性能によってそれ以上の範囲を持つ場合もあります。このような不正な基地局は「ローグフェムトセル」と呼ばれます。

このようなリスクは、5G、従来のトランキング、長距離ネットワーク、そして衛星通信のように、さまざまな技術形態で想定されます。攻撃者の狙いも、例えば携帯電話、ネットワーク、通信キャリアそしてIoTデバイスとさまざまな対象が想定されます。

通信トラフィックの侵害による詐欺の収益性は非常に高い一方で、事後の検出となることが多いものの、詐欺行為の検出は可能です。被害を受けた通信キャリアが詐欺を検出すると、当該通信キャリアは中継元の通信キャリアを各国で通信を管轄する当局に報告します。そして、当局は、問題の通信キャリアを事実上ブロックします。ただし、報告された通信キャリアが常に実際の攻撃元とは限りません。サイバー犯罪者は、別の通信キャリアから攻撃を実行し、もっとも大きな被害を受けたかのように装うことも可能です。ある通信キャリアが攻撃元だと誤解され、結果的にブロックされてサービス停止(Denial of Service、DoS)状態に陥ることも考えられます。もしかすると、サイバー犯罪者は最初からそれを狙っているかもしれません。特に島国やクルーズ船のような地理的に限定された場所で通信サービスが停止するような攻撃が想定されます。

詐欺を実行する方法

サイバー犯罪者が、通信キャリアへのサプライヤとしてインター・キャリア・トラストに参加するだけであれば、そのような攻撃の技術的な巧妙さは中間程度と言えるでしょう。サイバー犯罪者がベンダとして関わる通信キャリアには、密かにサイバー犯罪に加担するグレーな通信キャリアもあれば、ハッキングした通信キャリアのサービスを再販売するブラックな通信キャリアもあります。

しかし、図1のように、サイバー犯罪者が詐欺を実行するために自身の通信キャリアインフラストラクチャを設置する場合、攻撃はより巧妙なものとなり得ます。安価で物理的に小さな設備を利用し、低リスクかつ収益性の高い巧妙で柔軟な攻撃が可能となるでしょう。

図 1:不正な通信設備、運搬容器に入れられた各設備が協調して自動的に攻撃を実行

図 1:不正な通信設備と持ち運び可能な小規模の設備を連動させ、自動的に攻撃を実行
※※低電力のIoTデバイスを狙う場合、電力消費が小さいため、不正な通信設備はより小型化できる。

運搬容器に入れられた不正な通信設備は相互に繋がりネットワークを形成します。ここには攻撃者の管理下にあるさまざまな種類の通信設備が含まれます。最近では、こうした通信設備の費用は、個人が攻撃を立ち上げることができる水準にまで下がっています。不正な通信設備には以下のようなものが含まれます。

  1. 1.無線設備
    ハッキングされたハードウェアを含むフェムトセルは、ユーザの通信装置(User Equipment、UE)との間で任意の情報を送受信する。
  2. 2.GPSシミュレータ
    GPSシミュレータは、UEに任意の情報を送信することでローミングのような状態を変更し、攻撃が発生した位置情報を偽造する。
  3. 3.通信用ソフトウェア
    通信用ソフトウェアがインストールされたノートPCは、ハッキングされたモバイル端末に偽装された「状態」を実現。
  4. 4.ハッキング用ソフトウェア
    ハッキング用のソフトウェアがインストールされたノートPCは、攻撃によって生成されたデータを収集、分類、および管理する。
  5. 5.攻撃対象となるUE
    1つまたは複数のネットワークに接続されたモバイルデバイスが攻撃対象となり得る。有効範囲内の人々やデバイスをまとめて攻撃する場合、攻撃対象のUEが点線で示された電波を遮断するシールドの外側に位置する場合もある。
  6. 6.通信衛星とのデータ通信
    通信衛星とのデータ通信により、通信衛星インフラストラクチャをまたいで攻撃をルーティングし、通信衛星の反対側に位置する通信ネットワーク事業社からの請求を発生させる。
  7. 7.衛星電話
    通信ネットワークに戻るデータをロンダリングする。
  8. 8.セルモデム、フェムトセル、等
    これらの設備は通信ネットワークに対して任意の情報を送信する。
  9. 9.一般的な通信衛星
  10. 10.携帯電話基地局またはその他の基地局(5G、4G、3G、LPWAN、等)
    これらにより、通信ネットワークに任意の情報を送信する。
  11. 11.ゴム製の運搬容器、ファラデーシールド、電源装置、空冷ファン
    これらにより、不正な通信設備全体を自動車などに載せ運搬可能にする。自動車のインバータから電源を供給する場合、事実上永続的な運用が可能。また、攻撃対象が低電力のIoTデバイスである場合、このような設備全体の大きさと必要な電力を大幅に減少させ、バックパックに入れたり、バイクの後部に載せたりし、長期間動作させることも可能。運搬時は必要電力量によって稼働時間が制限される。

通信に関連した詐欺の影響は、毎年、実質的に成長していることは特筆に値します。同時に、実行に必要な費用や難易度は低下傾向にあることも間違いありません。5G技術の普及が予期される中、このような攻撃に対するサイバー犯罪者の関心もアンダーグラウンドにおいて高まっています。5Gは、スケーラビリティが高く料金請求システムがオープンなため、IRSFのような詐欺の金銭的な影響を増幅すると考えられています。

通信に関連した詐欺の被害に遭わないためには

業界全体の仕組みを悪用するこうした詐欺への対策は、一般企業あるいは法執行機関が単独で担うようなものであってはいけません。有効な対策を実現するためには、信頼と情報共有に基づく官民の連携を基本的な対抗戦略とすべきです。Europolは、電子商取引航空券詐欺マネーミュール(不正資金の運び子)など、さまざまな種類の詐欺に対して、業界全体におよぶ取り組みを行い、大きな成功を収めることで、そのような官民連携が効果的であることを既に示しています。

このような目的のために、Europolは2017年、初めに取り組む領域として、通信業界に関連した詐欺の中で最も大きな領域であるIRSFに焦点を当て、「Cyber Telecoms(Cytel) Fraud Working Group」を設立しました。同グループは、世界18カ国の法執行機関職員、「GSM Association(GSMA)」、「Pacific Island Telecommunication Association(PITA)」、「International Telecommunication Union(ITU)」、トレンドマイクロ、そして35社以上の通信事業社で構成されています。

2018年4月、このワーキンググループによる2週間の取り組みにより、25万件の詐欺に関連したトランザクションが見つかり、100以上の事例が法執行機関に報告されました。その結果、25件の調査が新たに行われることとなりました。さらに、1,313万ユーロ(約17億円)以上の詐欺に関連した支払いがブロックされました。IRSFに焦点を当てたこの取り組みに際し、その他の広範な詐欺も確認されました。中でも、構内交換機(PBX)のハッキングとワン切り詐欺が多く確認されました。ワン切り詐欺は、自動化されたダイヤラが多数のユーザに1コールのみの電話を掛け、掛けなおしてきたユーザに通話時間に応じた高額の請求が行われるという詐欺の手法です。

以上のように、通話料金詐欺は通信事業に関連した金銭を目的とする犯罪です。そのため、このような詐欺は金銭の動きと通信情報を相関付けることによって追跡することが可能です。複数の管轄領域にまたがる技術的な犯罪であるため、より多くの情報を集めることがより迅速な検出とより信頼性の高い予測に結び付きます。

通信業界に関連した金銭目的のサイバー犯罪は、新しい技術を採用した分析による予測を通し、事前に検出することが可能です。1つの例が、ルールに基づいてネットワークを管理する仮想的なセキュリティアーキテクチャ「セキュリティオーケストレーション」です。

セキュリティオーケストレーションでは、ネットワークを管理する元々のルールに、詐欺を防ぐルールや金融に関するルールを簡単に追加することが可能です。通話、電波通信、メッセージの送受信のような通信イベントと、IPアドレスやレピュテーション情報などの脅威情報を相関付けることで、増加を続ける通信関連詐欺に対処することができるでしょう。

IoTや5Gのような新しい技術を悪用する、古典的ながらも新しい通信関連詐欺に対してオーケストレーション可能な新しいモデルを創るためには、機械学習および人工知能(AI)との統合が不可欠です。

企業のセキュリティ対策は、新たな技術を悪用する攻撃者に後れを取ることなく、革新的な技術によって進歩する必要があります。このような新しい対策モデルは、法人組織のイメージを損ね正規の顧客に否定的な影響を与え得るさまざまなタイプの詐欺への対策にも役立つでしょう。特に、組織的な犯罪やサイバー犯罪に利用されるAI(Criminal Artificial Intelligence、CAI)に備えるためには、こうしたアプローチが重要となります。

通信業界に関連した詐欺は業界にとって深刻な問題となっており、事業社の損失は間違いなく顧客の負担として反映されます。また、サイバー犯罪者は、詐欺による収入をまた別の犯罪活動に再投資するでしょう。

その他の領域における詐欺から、通信業界に関連した詐欺への対処においても官民の連携が有効であることが分かります。しかし、残念なことに、法執行機関と通信業界の関係は、ほとんどの場合において金融業界で見られるような信頼と協力のレベルには達していません。Cyber Telecoms(Cytel)Fraud Working Groupはこのような状況に対処するための最初の一歩です。

サイバー犯罪者がどのようにして攻撃に必要な通信設備を取得し、インター・キャリア・トラストに参加するのかを特定するためには、さらに多くの作業が必要です。このような問題や、Cytel詐欺に関連したさまざまな問題の解決には、法執行機関、業界、そして規制当局の協力が必要となるでしょう。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop