CAPTCHA認証を回避するサイバー犯罪者

2010/04/26

McAfee Labsでは、Webベースの脅威からユーザーを守るため、CAPTCHA(Completely Automated Public Turing test to tell Computers and humans apart)解読攻撃から始まるサイバー犯罪者の行動を監視しています。CAPTCHA認証を回避している犯罪者は、現在も増加しており、これらに関連する報道も増えています。このようなテクニックを持つ犯罪者は、ボットネットに取り込んだPCを使用し、スパムメールや悪質なマルウェアをランダムに大量送信します。今回はその一例を紹介します。

ニュージャージー州ニューアークにある米連邦裁判所は、ボットネット形式のCAPTCHA解読機能付きネットワークがサイバー犯罪に使用された事例を明らかにしました。この件の被告たちは、ボットネットに取り込んだPCを使用し、人気の高いスポーツや音楽イベントのチケットを販売業者のWebサイトから違法購入していました。なお購入したチケットはインターネット上で、高値で転売したとのことです。

起訴状によると、ブルガリアにいる共犯のプログラマーが、ボットネットを動かす分散ソフトウエアを開発しました。このソフトにより犯罪者は、購入者を制限するためのセキュリティ対策をくぐり抜け、人気のあるチケットを容易に入手しました。一般的なボットネットと異なり、このボットネットは取り込んだPCをチケット獲得のみに使用しました。そして2002年終わりから2009年1月ころにかけて開催された人気イベントのチケットを150万枚以上購入し、2890万ドルの利益を得たと見られています。

このダフ屋行為を行った企業の従業員や取引業者、そして被告人たちは、彼らがネバダ州で設立した「Wiseguy Tickets」(ワイズガイ チケッツ)という会社にちなんで、「Wiseguy」と呼ばれています。Wiseguyのボットネットは全米からPCを集めており、数分で数千枚のチケットを買うことができました。

Wiseguyのチケット入手の手口は、以下の通りです。

  1. オンラインチケット販売業者のWebサイトを監視し、人気イベントのチケットについて正確な発売日時を調べる。
  2. チケット発売の瞬間に数千本のコネクションを確立する。
  3. CAPTCHA認証を数分の1秒でクリアし(人間が入力すると5〜10秒かかる)、あっという間に正規の購入手続きへ進む。
  4. Wiseguyの従業員は、人気チケットが数百枚も載っているリストを並行して作る。
  5. ボットネットPCは、クレジットカード番号やメールアドレス(ただし偽物)といった購入手続き必要な情報を漏れなく入力する。

Wiseguyは、知名度の高い数々の人気イベントをターゲットにしていました。例えば、全米大学フットボールの王座を決めるBCSナショナルチャンピオンシップゲーム、イリノイ州シカゴで行われたバーバラ・ストライサンドのコンサート、ニュージャージー州で開かれたハンナ・モンタナのコンサート、ブルース・スプリングスティーンの2008年ツアーなどがその標的となりました。またWiseguyのボットネットは、ブルース・スプリングスティーンのツアーだけで、約11800枚ものチケット購入に成功しました。

起訴状によると、Wiseguyが最後に犯行を行ったのは2009年1月とのことです。このときWiseguyのボットネットは、全米フットボールリーグ(NFL)決勝戦(ニューヨークジャイアンツとフィラデルフィアイーグルスが、ニュージャージー州イーストラザフォードのジャイアンツスタジアムで戦った試合)のチケットを求める1000人に成り済ましました。

オンラインチケット販売業者のみを攻撃対象としたWiseguyは、マルウェアを拡散させずに狙いを絞り込む攻撃の一例です。IT管理者は自身が任されているネットワークの監視を怠らず、どんなに小さな事象でも見逃さないことが重要だといえるでしょう。