サイバー犯罪活動では、常に正規のオンラインツールやサービスが悪用されています。これらの悪用は、以下のように多岐に渡り、オンラインのさまざな場所で散見されます。

  • ソフトウェア、Webサイト、Webアプリケーションの脆弱性が攻撃経路に利用される
  • クラウドサービスに不正なコンポーネントがホストされる
  • ソーシャルネットワーキングサービス(SNS)上の書き込みやリンクをクリックさせて何も知らないユーザを貶める

将来的にいかなる技術やサービスが開発されても、常にこうした「悪用されるリスク」は伴います。

トレンドマイクロでは、サイバー犯罪の調査を通して「正規サービスの悪用」という点からサイバー犯罪者と同じ巧妙さを備えた存在としてテロリストグループに注目しました。彼らは、非合法なオンライン活動を展開する点でサイバー犯罪者と同レベルの存在です。ただし双方は、それぞれ異なった動機で活動しています。サイバー犯罪者の目的は、不正プログラムを拡散させて金儲けすることですが、テロリストの目的は、プロパガンダを拡散させることです。

今回の調査では、サイバー犯罪者とテロリストの両者が目的達成のために悪用する技術やオンラインプラットフォームを注視し、どのような重複があるかなどを確認しました。特に以下の 3点に注目しました。

  • 追随者が簡単かつ効率的に悪用できる手法
  • 実際に悪用されたサービス
  • 自前で開発したツール

■匿名希望

サイバー犯罪者とテロリストは、双方とも目的が非合法活動であることは明らかです。この点から「追跡を逃れてオンライン上で匿名であるべき」というニーズは一致しています。双方とも、匿名性保持のために正当な理由で開発されたツールやサービスを悪用します。本来は、ジャーナリストや内部告発者や活動家が匿名を保持するために利用するツールやサービスなどがそれに該当します。例えば、匿名化プログラム「TOR」や Deep Web上で確認される各種暗号化ツールなどです。

テロリストが悪用する Webサービスで弊社が確認した例では、DDoS攻撃対策サービス「Cloudflare」があげられます。これは正規のサービスであり、本来は、アクセスが集中したトラフィックや DoS攻撃などを回避するミラーサイト提供のために設計されました。弊社では、テロリストがプロパガンダ用Webサイトの匿名性保持のために「Cloudflare」を導入し始めたのを確認しました。

さらに弊社では、テロリストが「匿名化のためのガイド」を作成・配布しているのも確認しました。こういったガイドも、本来は、活動家やジャーナリスト向けに作成されたものです。しかしテロリストの間でも、テロリストの新メンバー向けに「監視回避を教示するガイド」として使用されているようです。中には、アメリカ国家安全保障局(National Security Agency:NSA)やその他の政府機関からの監視回避法に言及しているガイドもあります。

これらのガイドには「匿名保持のためにもソーシャルメディアのアカウント使用しないこと」というアドバイスなども含まれています。匿名保持でテロリストグループの方が厳格なようですが、双方の性質や目的を違いを際立たせる一例と言えます。この違いは、逮捕後に想定される「結果」の違いに起因しているのでしょう。サイバー犯罪者とっての関心が「刑期の長さだけ」であるのに対し、テロリストにとっては「敵対する側の報復」も大きな関心事です。刑期自体も、長くなるばかりか死刑判決の可能性さえあります。

■コミュニケーションの手段

テロリストもサイバー犯罪者もコミュニケーション手段では多くの共通点があります。弊社の調査「「The Many Faces of Cybercrime」によると、世界のサイバー犯罪者は、以下のようなコミュニケーション手段を用いています。

  • 安全なメールサービス:日本のサイバー犯罪者は「SAFe-mail」というサービスを利用し、安全で検知されない電子メールを介してお互いのコミュニケーションや取引をしています。
  • Deep Webやアンダーグラウンドフォーラム:弊社が確認したほぼ全地域のサイバー犯罪アンダーグラウンドでフォーラムが利用されています。そこでは、不正プログラムや不正サービスの宣伝だけでなく、新しい手法、情報共有、取引もされています。通常、フォーラムはTORを介してアクセスされ、フォーラムに入るための認証が必要な場合もあります。
  • ソーシャルメディア(TwitterやFacebookなど):ブラジルのサイバー犯罪者は、ソーシャルメディアを介して連絡を取り合い、稼いだ金銭の自慢などもしています。

テロリストもこれらのコミュニケーション手段を使用していますが、目的が異なるようです。サイバー犯罪者は、金銭交渉やサイバー犯罪の悪用にこれらのコミュニケーション手段を使用しますが、テロリストは、プロパガンダの共有(特にソーシャルメディアによる共有)や調整等にこれらのコミュニケーション手段を使用します。テロリストがよく使用する手段は「安全なサービス」で、特に「SIGAINT」や「Ruggedinbox」、「Mail2Tor」などを仲間同士で推奨しているようです。


「インスタントメッセンジャー」もサイバー犯罪者とテロリストが共通して使用しているコミュニケーション手段です。ただし双方とも、情報収集や不正リンクの拡散よりも、当事者同士のコミュニケーションや調整に利用しています。弊社の調査によると、2301のアカウントがテロリストグループ支援のアカウントとして公然と使用されています。中でも「Telegram」がアカウント全体数の 34%を占め、「テロリストに最も好まれて用いられるインスタントメッセンジャー」となっています。「Whatsapp」や「Wickr」、「Surespot」、「Threema」なども利用されています。現在 15%を占める「Whatsapp」は、以前はもっと多く利用されていました。この減少は、このメッセージングアプリを使用していたテロリストグループが検挙されたことに起因しているようです。


サイバー犯罪者とテロリストは「ファイルのホスティングサービスや共有サービス」を使用する点も共通しています。テロリストは、プロパガンダや大容量デジタルメディアの送信や拡散にこれらのサービスを利用し、特に「top4top.net」や「Sendspace」、「SecureDrop」が用いられています。ここで留意すべきは、ファイルホスティングサービスを好んで用いるテロリストグループが中東地域を拠点にしている点です。米国などの欧米諸国で政府監視システムの通信プラットフォームが脅威にさらされている理由もここにあると考えられます。

最後にテロリストの活動だけに特有の通信プラットフォームとして「モバイル端末」があげられる点も留意しておくべきでしょう。テロリストは、活動範囲がサイバー空間に限定されるサイバー犯罪者と異なり、現実世界でデジタル通信手段を駆使する必要があるからかもしれません。通信手段として多用されていますが、テロリスト向けアンダーグラウンドフォーラムの多くでは「セキュリティの面からスマートフォンは利用しないように」という注意はなされています。とりわけ、人気の高いモバイルプラットフォームのiOSとAndroidは「フォーラムで利用すべきではない通信手段」と見なされています。

■プロパガンダの拡散

サイバー犯罪者とテロリストと大きな違いは、プロパガンダを拡散させようとしているかどうかです。サイバー犯罪者の目的が犯罪遂行(不正に電子的な手段で金銭を窃取すること)と活動隠ぺいである一方、テロリストの目的は、プロパガンダを拡散し、追随者だけでなくより広く公共の人々の周知されることです。テロリストグループは、自分たちの利用するチャネルでプロパガンダが禁止・検閲されず、身元も検知・追跡されないことを求めています。

テロリストは、以下の方法によりプロパガンダを拡散します。

  • Webサイト:テロリストグループは、一般のWebサイトとDark Webの双方でWebサイトを使用し、プロパガンダの提示、関連ニュースや刊行物の掲載、動画や画像などその他のメディアの掲示等を行ないます。
  • ソーシャルメディア:テロリストや彼らの追従者は、プロパガンダ拡散だけでなく、仲間同士や潜在的転向者とのコミュニケーションにもTwitterやFacebookを使用します。Twitterでは、テロリストのプロパガンダを公然と支援・拡散するアカウントへの停止措置などを始めています。停止されたアカウントのユーザは、再び最初からアカウントを取得しなければなりません。
  • メディア:テロリストのポジティブな側面や専門性をアピールする動画や画像やプロモーション資料も使用します。これによりできるだけ多くの人々の関心を惹こうとします。メディアコンテンツは、テロリストグループの「勝利」をアピールする宣伝にも使用されます。さらに人質の周知にも使用されます。
  • 物理的ストレージメディア:テロリストグループは、インターネット以外でもプロパガンダや関連情報を拡散するため、SIMカードやUSBドライブも使用します。この方法では、オンライン上の検知や監視を恐れることなく、自分たちのイデオロギーを拡散し続けることできます。

カスタマイズされた「テロリスト向けツール」

技術やコミュニケーションの面からサイバー犯罪者とテロリストとの類似点や相違点を見てきましたが、ここでは「テロリスト向けの技術」について説明します。テロリストグループは、技術的知識に乏しいメンバーが匿名性と通信セキュリティを確保できるため、彼らをサポートするアプリケーションも独自に開発しています。弊社によるオンラインの調査によると、最も人気が高い一般的アプリケーションとして以下の 6つがあげられます。

  • Mojahedeen Secrets:2007年に「PGP 2」に代わるツールとしてリリースされました。「Eメールを暗号化するため初めて専門的に開発されたアプリケーション」と見なされています。RSAのパブリック/プライベート暗号化システムを用いて、メールやファイルの送信時に暗号化します。ユーザは、メール送信時にプライベートキーを作成し、さらにアプリケーションによるメッセージング機能、ファイルを安全に削除するシュレッダー機能も備えています。


  • Tashfeer al-Jawwa:モバイル端末向けの暗号化アプリケーション第1号と見なされています。「Global Islamic Media Front(GIMF)」に開発され、2013年にリリースされました。このアプリケーション自体が「モバイル向け暗号化プログラム」として機能します。
  • Asrar al-Dardashah:2013年にリリースされ、インスタントメッセージングアプリケーション「Pidgin」のプラグインとして開発されました。インストールが簡単で、プラグインによりインスタントメッセージングを暗号化します。ボタンを押すだけでメッセージ内容のセキュリティを確保します。


  • Amn al-Mujahed:「Al-Fajr Technical Committee(ATC)」に開発されたソフトウェア暗号化プログラム。2013年にリリースされ、最新版はバージョン1.1で、現在も開発が進められています。Eメールや SMS、インスタントメッセージング等、複数のプラットフォームで暗号化可能です。


  • Alemarah:新型のAndroidアプリケーションで、テロリスト関連活動の配信等に使用されます。実行中の活動内容を含んだ新規フィード、Webサイト、カレンダーも列挙します。


  • Amaq v 1.1:テロリスト組織が情報拡散の際に使用するAndroidアプリケーションで、複数のバージョンが存在し、広く普及しています。最新バージョンは「Amaq 2.1」で、このバージョンの環境設定ファイルにより、アプリ利用者は(アプリがホストされている WebサイトのURLがテイクダウンされた場合など)URLを簡単に変更することができます。サイバー犯罪者が不正プログラムの URL を管理する際にも利用されます。
  • DDOS Tool:テロリスト組織が利用するツールの調査中、弊社は「DDoS攻撃が実行可能なツール」を確認しました。このツールは、特定のテロリスト組織の支援する個人により作成されたようです。当初は「実際には何も実行できない偽アプリケーション」と考えられていましたが、テストの結果、SYNフラッド手法による限定的な DoS攻撃が実行可能であることが確認されました。巧妙なツールというわけではありませんが、こうしたツールの存在から、破壊的技術への開発が進められている事実も明らかにされました。


■結論

オンラインで活動するテロリストとサイバー犯罪者を比較し、技術や手法に関する類似点や相違点を明らかにしてきました。双方ともオンライン上で匿名性を確保したい点では共通していますが、関連情報を拡散する手法や動機が大きく異なっていました。サイバー犯罪者は、接触相手を限定してオンライン上の評判に気を遣う傾向があります。テロリストは、プロパガンダを拡散して潜在的追随者を得ることに尽力しています。

「プロパガンダ拡散」や「金銭取得」という動機は異なっていても、双方ともオンラインに存在する上で多くの共通点があります。同じチャンネルや技術を介して通信している点です。したがって、テロリスト活動の追跡は、サイバー犯罪活動の追跡と同程度の困難が伴います。しかし彼らが使用するチャンネルや技術を知ることは、彼らの組織がどのように機能しているかを把握する上でも重要な第一歩となります。そして究極的には、彼らの活動を阻止する対策につながります。

■注釈:

「テロリスト」について

今回の調査では「テロリスト」を以下のように定義しています。

  • 最低7ヵ国により「テロリスト」もしくは「テロリスト組織」と呼ばれる集団のこと

少なとも7ヵ国により「テロリスト組織」と呼ばれている組織に限定することで、単に地政的観点や偏見からテロリスト扱いされているグループを除外し、真に国際的な意味での「テロリスト組織」のみを扱うことが可能になります。最低7ヵ国の合意を「グローバルの共通認識」と見なすことで、政治的・思想信条的なバイアスも最小化することができます。

「テロリストの追随者」について

今回の調査では、以下の個人や組織も「テロリストの追随者」として調査対象に含まれています。

  • テロリスト組織を積極的に支援したり、テロリスト組織を支援する資料等を配布している人々のこと。

具体的には以下の個人や組織が含まれます。

  • 少なくとも7ヵ国からテロリスト組織のメンバーであると公然と見なされている個人やグループ
  • テロリスト組織を直接支援するニュースレターや刊行物や動画を公然と配布している個人やグループ

技術やサンプル情報について

本稿では、テロリストやテロリスト組織の特定名称には言及せず、中心テーマである「テロリストが使用した技術」に焦点を絞りました。また本稿で定義される「技術」は、調査対象のテロリストやテロリスト組織が「現在使用している手法やアプリケーション」に限定し、「新しい技術」や「彼らが今後使用すると予想される技術」等については言及していません。