以下は CODE BLUE 2020 で発表された「Illicit QQ communities: What's being shared?」を試訳したものです。
発表者:Aaron Shraberg
発表日:2020年10月29日
目的
CODE BLUE を聴講後、復習をかねて以下の手順で翻訳しました。
- Downsub で YouTube の動画の字幕をダウンロード
- Otter で YouTube の動画を音声から文字へ変換
- YouTube の動画の字幕と比較して単語の誤変換を修正
- DeepL と Google Translate で英語から日本語へ翻訳
- 英辞郎で単語や慣用表現を修正
- 翻訳を推敲
当日は日本語通訳のトラックで聴講していましたが、発表者の話す速度や独特な話し方に通訳者が対応できていないように見受けられました。
また、以下の記事も拝見したのですが、日本語通訳をもとにトピックのみで構成されているため、発表内容の詳細を知りたいと思い、あらためて翻訳することにしました。
[レポート]不正な QQ コミュニティ:何が共有されている? - CODE BLUE 2020
なお、以下の内容は機械翻訳で得られた粗訳を、文脈をたよりに意訳したものです。私自身は英語の素養がなく、誤訳や考え違いなど多々あると思いますが、その点はご容赦ください。
講演内容
はじめに
Our next session is "Illicit QQ communities: What's being shared?"
次のセッションは「不正な QQ コミュニティ:何が共有されている?」です。
Please welcome our speaker, Aaron Shraberg.
スピーカーをお迎えください。Aaron Shraberg 氏です。
(All right, go ahead.)
(大丈夫です。開始してください。)
Okay, thank you very much.
はい、ありがとうございます。
(um) And thank you to CODE BLUE and their sponsors for having me.
ご招待いただき、CODE BLUE とスポンサー各社に感謝します。
(um) My name is Aaron Shraberg.
Aaron Shraberg と申します。
Today I'm going to jump into discussing with the audience, an unique set of data, groups of Chinese speaking actors on chat tool QQ, who are engaged in better around fraud and hacking tools, tactics and techniques.
本日はみなさんとあまり見慣れないデータやチャットツール QQ で中国語を話す脅威アクターのグループに関する考察に踏み込もうと思います。脅威アクターは詐欺やハッキングのツール、戦術、テクニックに関与しています。
The activities I'll highlight are a few key numbers engaging in activity that can be thought of as illicit, illegal breaking of terms of services agreements or rent-seek behavior.
私が注目する動向は、サービス利用規約に反する違法行為やレントシーキング1と考えられる活動にまつわるいくつかの重要な数字です。
In many of these groups, mainly technology, hacking geek groups are sharing files, lots of files and some of the malicious software.
こうしたグループの多くで、主に技術オタクやハッキングオタクのグループがファイル…大量のファイルや一部の悪意のあるソフトウェアを共有しています。
Some of which I will show our audience today.
本日はそのうちの一部をみなさんにご紹介します。
私について
First note about me.
まずは私についてです。
As I said I'm Aaron.
すでにご紹介したとおり Aaron と申します。
I've been researching mostly in Chinese language ransom community from China externally, as well as threats to businesses in China both from within China and threats to China from abroad.
主に中国国内から中国国外を対象とするランサムグループや、中国国内から中国企業への脅威または中国国外から中国国内への脅威の両面について、中国語で研究してきました。
My journey into anything ??? back in high school when ??? (they offered) a pilot program in Chinese language study.
私の遍歴ですが、中国語学習が先行履修科目として提供された高校時代にまで遡ります。
It was the only option besides Latin, German, Spanish, and French.
中国語はラテン語、ドイツ語、スペイン語、フランス語を除いた唯一の選択肢でした。
I took my first course and I've regretted it ever since.
私は初級コースを履修してから、ずっと後悔していました。
Because Chinese is, in my opinion and I think the opinion of many others, exceedingly difficult.
なぜなら、私の考えというか…多くの人たちの考えもそうだと思うのですが、中国語は極めて難しいからです。
But since then I've lived in China with one half years including ??? university in ???-zhou and at Qinghua university in Beijing.
とはいえ、その後、(不明)州の(不明)大学と北京の清華大学を含めると、中国に半年ほど滞在した経験があります。
I then pursued my master's degree at Washington university in Washington DC, and after 4 years working within the public sector.
それから、ワシントン DC にあるワシントン大学で修士号を取得し、さらにその後の 4 年間は公的機関で働きました。
I began working for various ??? (interventions) focused on different types of security and risk including regulatory compliance, finance sanctions, technology diversion, reputational risk brand protection, due diligence and now cyber threats at Flashpoint.
そして、法規制の順守、金融制裁、技術移転、風評リスク、ブランド保護、デューディリジェンス2といった様々なタイプのセキュリティやリスクに目を向けていろいろな仕事に携わるようになりました。今は Flashpoint 社でサイバー脅威に関わっています。
So some of our partners ???, (uh) the king of record are here today and I really hoped to be able to come to Japan in person again one day soon, I was there last year and it was an amazing experience.
本日は(不明)の一部のパートナーや(不明)がこちら(オンラインミーティング上?)で一堂に会しているわけですが、私自身は本当は近いうちにまた直接来日したいと考えています。一年前はそちら(日本の会場?)にいたのですが、素晴らしい体験でした。
アジェンダ
So today I'm going to explain what QQ is for the group.
それでは、本日は脅威アクターグループにとって QQ とは何かについてお話しします。
I'll go over frequently found fraud types, it won't be a comprehensive overview of all fraud types and you may have seen some scams, not included.
よく見かけるタイプの詐欺について説明しますので、全てのタイプの詐欺を包括した概要ではありません。また、いくつかの詐欺は目にされたことがあるかもしれませんし、ないかもしれません。
There is more content in QQ (uh) with over 800 million active monthly users (uh) that can be covered in three hours, let alone 30 minutes.
月間アクティブユーザー数が 8 億人を超える QQ には盛りだくさんのコンテンツがあります。これらは 3 時間あれば扱えるかもしれませんが、(本日は)30 分しかありません。
But I've spent a significant amount of time in this platform learning the language of cyber underground actors, we'll touch on some of that.
それはともかくとして、私はこのプラットフォームで非合法の脅威アクターが使用する言語を理解しようと、かなりの時間を費やしてきましたので、その一部について触れたいと思います。
And I'll also touch on detection avoidance versus turning a blind eye.
また、検閲の回避とそれに対する黙認3についても言及しようと思います。
I posit to you that the fraud types that are top of mind for security practitioners in China and outside of China are not necessarily aligned in many cases, because of who or what types of fraud, this fraud is harming.
中国内外のセキュリティ専門家にとって最も重要な事項とされる詐欺のタイプですが、多くの場合において、必ずしも一致するとは限りません。なぜなら誰が、どのようなタイプの詐欺を行うかによるからです。この場合の詐欺とは実害をもたらすものです。
So China's recent adoption of a personal information security law.
最近、中国では「サイバーセキュリティ法」(中华人民共和国网络安全法)が施行されました。
I think is a move in the right direction perhaps for providing more legal framework for pursuing flavor and violations of personally identifiable information in China.
これは「正しい」方向への動きなのだと思います。おそらく中国国内での個人情報の追跡や侵害に関する法的な枠組みを追加で提供するためでしょう。
But a lot of what I'm seeing in QQ, when I'm seeing bots sold and defrauded touches on populations or entities outside of China.
その反面、私が QQ において大量に見かけるものとして…販売されたり、詐欺行為に利用されているボットが中国国外の人々や組織について言及しているのを見かけます。
Moreover members use slang, memes and emoticons to avoid detection.
さらに、(脅威アクターの)メンバーは当局の検閲を避けるためにスラングやミーム、顔文字を使用しています。
I'll end the presentation by discussing (uh) the future of threat detection.
発表の最後は今後の脅威検知について考察することで、締めくくりたいと思います。
QQ とは何か?
So, what is QQ?
さて、QQ とは何でしょうか?
QQ was initially released in 1999, making it about 21 years old.
QQ は 1999 年にリリースされ、(今年で)21 歳になります。
Since then it's gone through successive upgrades and includes the ability to create groups after gradual privilege escalation which is basically determined by time in the app and amount of activity.
リリース以来、(QQ は)継続してアップグレードされてきました。(ユーザーの)権限が段階的に昇格していくと、グループを作成する機能が追加されます。権限の昇格は基本的にアプリの利用時間と活動量によって決まります。
Groups are anywhere between tens of users to up to over one thousand.
グループ(の人数)は数十人から最大 1,000 人を超えるユーザーまで様々です。
Again there's over 800 million monthly users on QQ.
繰り返しになりますが、QQ の月間アクティブユーザー数は 8 億人です。
So my own research comprises a very small amount of that data.
なので、私自身の研究はそのうちのごく一部のデータで構成されています。
But I don't want to downplay what I think is an impactful group of threat actors for reasons that I hope are apparent to you by the end of this presentation.
とはいえ、脅威アクターのなかでも(QQ を利用するアクターは)影響力を持つグループであり、軽視することはできません。この発表が終わる頃には、きっとみなさんにもご理解いただけることを願っています。
(um) (oh) And the little (uh) QQ icon is that cute little penguin on the bottom left.
この小さいのが QQ のアイコンです。スライドの左下にあるかわいい小さなペンギンのものです。
QQ はどこに位置づけられるか?
So, compared to other apps.
では、他のアプリと比較してみましょう。
(um) According to this data port... report, (uh) QQ still... still ranks in the top seven social media platforms.
このレポートによれば、QQ は依然としてソーシャルメディアプラットフォームのトップ 7 にランクインしています。
And if you filter for messenger or chat apps, QQ, WeChat account for two of the top five apps.
メッセンジャーアプリやチャットアプリに限って見れば、QQ と WeChat はトップ 5 のアプリのうち 2 つを占めています。
So this is a big chunk of... of global users.
これは全世界のユーザーの大部分に相当します。
And when we talk about impact, when we talk about scale, which I think is one thing that QQ has... there are a lot of users.
その影響や規模に関して言えば、とにかく QQ には多くのユーザーがいるということです。
不正なコミュニティとは何か?
So what's an illicit community?
では、不正なコミュニティとは何でしょうか?
Loosely defined it is community that supports fraud cybercrime or financial gain money laundering and other illegal activities.
大まかに定義すれば、詐欺によるサイバー犯罪、金銭的利益のマネーロンダリング、その他の違法行為を支援するコミュニティです。
Groups also discuss fraud hacking tools and techniques.
グループでは詐欺のハッキングツールやテクニックについて話し合われています。
So as this "Flashpoint" report shows, typical internet users see about 5% of the regular internet, and there's a whole other section accessible through special browsers, configurations, logins, etc. as many of our audience members know.
こちらの Flashpoint 社のレポートが示すように、一般的なインターネットユーザーは、通常のインターネットの約 5 % しか目にしていません。しかし、みなさんもご存知のように、特別なブラウザーや設定、ログイン画面などからアクセスできる全く別の側面があります。
One of the hallmarks of illicit communities is that their creative use of language.
違法なコミュニティの特徴の 1 つは独創的な言語の使い方です。
And that's absolutely the case (uh) in the Chinese language communities pictured are some common examples of hacker slang.
画像の中国語のコミュニティがまさにその事例で、ハッカーが使用する一般的なスラングの例です。
As you can see each slack... slang term is a unique combination of Chinese characters or Chinese characters in English words.
ご覧のように、それぞれのスラングは漢字やピンインを組み合わせた独特なものです。
Sometimes the slang uses numbers or emoticons.
スラングには数字や絵文字が使用されることもあります。
The slang is mature and almost takes on a dialect of its own.
スラングは発達していて、もはや独自の方言のようです。
So I think time and information and language facility is key to threat detection in this space.
なので、時間と情報と言語機能がこの分野で脅威を検出するための鍵となるかと思います。
So you can see the first one.
スライドの最初のものをご覧ください。
Pants "Kuzi" in Chinese sounds like the word for database in Chinese.
パンツ(pants)は中国語で「裤子」(kùzi/クーズ)ですが、これは中国語の「データベース」(库子/kùzi/クーズ)を意味する単語と同じ音です。
"MM" being the first letter of the first English word for the Chinese word for Trojan which is "Muma".
「MM」は「トロイの木馬」を意味する中国語の単語「木馬」(mùmǎ/ムーマー)のピンインの頭文字からとったものです。
And then the third one down, "Yuankong" is basically a Remote Access Tool.
ひとつ下がって 3 つめの「yuan 控」(远控/yuǎnkòng/ユエンコン)ですが、これは「RAT(Remote Access Tool)」のことです。
And then you have "D-dan" for DDoS.
そして、ご覧いただいている「D 单」(D dān/ディーダン)は「DDoS のオーダー」を意味します。
"Dan" being the word for single as in single point of congestion in a DDoS attack.
「单」4は DDoS 攻撃が一箇所に集中した状態であることを意味する単語です。
何が共有されているか?
So let's talk about threats.
では、脅威についてお話ししましょう。
And I think it would be useful first to talk about threats from the perspective of detection within China.
最初に中国国内の検閲という観点から脅威についてお話ししておくことは有益かと思います。
So fraud is reported and notes are published by companies like Tencent which is the parent company of QQ.
詐欺行為が報告されると、QQ の親会社である「腾讯」(Tencent)のような企業によって記事が公開されます。
Most recent reporting shows the top three fraud types are business fraud, (uh) income or employment schemes and friend schemes which are likely romance type schemes.
最新の報告5によれば、詐欺のタイプのトップ 3 は「ビジネス詐欺」、「収入または雇用を悪用した詐欺」、「友人を悪用した恋愛型の詐欺」のようです。
One issue with the reporting is that they don't define in great detail what these major fraud types are, but we can extrapolate based on online searches and perhaps our own findings, discuss today what each fraud type is.
このレポートの問題点の 1 つは、こうした主要な詐欺のタイプがどのようなものか詳細に定義していないことなのですが、それはともかくとして、本日はオンライン検索や私たち自身の発見などにもとづいて推定し、各タイプの詐欺がどのようなものか検討してみましょう。
A mass study that can adequately quantify fraud is not possible now, but it should come as no surprise that most fraud types (uh) financially motivated in nature.
今は詐欺を適切に定量化できるような大規模な調査はできませんが、ほとんどのタイプの詐欺は本質的に金銭的な動機によるものであることは明らかです。
What I assess (uh) within the QQ groups are a large type of the following types of fraud and different TTPs around these different types of fraud.
私が QQ のグループ内で調査しているのは、次のような大規模なタイプの詐欺とそうした様々なタイプの詐欺に関連するいろいろな攻撃の手口(TTPs6)です。
So credit card fraud, retail on online fraud, phishing, DDoS, some ransomware, discussions in chatter and a lot of file sharing of different types of tools and malicious files.
例えば、クレジットカード詐欺、オンライン詐欺、フィッシング、DDoS 攻撃、一部のランサムウェア、チャット内のやりとり、膨大なファイル共有…様々なタイプのツールや悪意のあるファイルの共有などです。
クレジットカード詐欺について
So first, talking about credit card fraud within QQ.
まず最初に QQ 内におけるクレジットカード詐欺について話します。
This type of fraud is highly internationalized as you can see an example in the center which is a snippet from a chat group.
このタイプの詐欺は、画面中央の例を見てもわかるように、高度に国際化が進んでいます。この例はチャットグループからの抜粋です。
(um) You have different types of CVVs targeting countries like Japan, the United States, Europe.
日本、米国、欧州などの国を対象とした様々な種類のセキュリティコード(CVV7)があります。
It's highly commercial... commercialized.
クレジットカード詐欺は高度に商業化されています。
A lot of (uh) threat actors on QQ do support cryptocurrency payments (um) and... and many of them also pivot to other chat tools.
QQ 上の多くの脅威アクターは暗号通貨による決済をサポートしており、彼らの多くは他のチャットツールにも軸足を広げています。
So you have tools such as Telegram which is a borderless chat tool that is not under (uh) the (uh) influence of the... the Chinese (uh) censorship or monitoring authorities for example.
例えば、中国の検閲や監視当局の影響を受けないボーダレスなチャットツールとして Telegram のようなツールがあります。
And so you have... we have evidence in this case.
こうした事例の証拠をお見せします。
(uh) I had to redact the usernames, but this particular QQ user rather prolific credit card seller is also active in at least 4 other (um) well-known Telegram channels.
ユーザー名をマスキングする必要があったのですが、この特定の QQ ユーザー…というよりは頻繁に情報を発信しているクレジットカード業者なのですが、彼らは他に少なくとも 4 つの有名な Telegram チャネルで活動しています。
So you can see the internationalized nature of this particular fraud type.
このタイプの特殊詐欺に関しては、国際化している特性がわかるかと思います。
Same example here, (um) threat actors on QQ discussing dumps, discussing even (uh) EMV (Europay, MasterCard, VISA protcol) technology (uh) f... EMV (uh) technology fraud (um) and also pivoting to (uh) Telegram groups to both promote the sales of whatever credit cards they're trying to sell and also to engage in chatter around different types of known and emerging fraud types in the credit card fraud space.
同じ例ですが、QQ 上の脅威アクターはダンプデータについて話し合ったり、EMV8 の技術に関する詐欺についてやりとりしています。彼らは Telegram のグループに軸足を移し、クレジットカード詐欺の分野でクレジットカードの販路を拡大し、様々な既知のタイプの詐欺について話し合おうとしています。
小売詐欺とオンライン詐欺について
So next up is (um) online fraud.
次にオンライン詐欺です。
(uh) So (uh) in this space threat actors engage in various types of retail or online fraud.
脅威アクターはこの分野でも様々なタイプの小売詐欺やオンライン詐欺に関わっています。
(um) Essentially you have (uh) e-commerce platforms... all kinds of e-commerce platforms (uh) being brought up for sale.
基本的に、あらゆるタイプの e コマースプラットフォームが売りに出されています。
Even ones that have entered the Chinese market within the last few months (um) very quickly become swept up in this type of proxy account opening and payment services.
過去数ヶ月以内に中国市場に参入したものでさえ、このような代理のアカウント開設や支払いサービスのなかでは(宣伝の投稿が多いため)あっという間に押し流されてしまいます。
A lot of this activity we could qualify as rent seeking behavior certainly not in terms of service compliant behavior.
こうした活動の大半は、明らかに利用規約にもとづく行為ではなく、レントシーキングのような行為と見なすことができます。
In some cases we have examples of merchants, furnishing, (um) identify... identification documents along with (uh) accounts.
(スライドでは)いくつかの事例において、業者、調達手段、アカウント情報つきの身分証明書の例をお見せしています。
(uh) Which is really teetering on a type of (um) synthetic identity fraud or providing (uh) false (uh) doctor document fraud with those account sales.
実のところ、こうしたアカウント情報の販売とともに、ある種の「合成 ID 詐欺」すれすれの行為をしたり、「偽造医師免許詐欺」を提供したりしています。
(um) And the prices of these go anywhere from 600 to 1600 RMB (um) depending on whether or not they're secondhand or firsthand or what country they're being offered in.
これらの価格は中古か、新品か、どの国のものかによって 600 元 ~ 1,600 元の間で変動します。
アカウントの情報の販売について
(um) There's a significant effort on QQ to sell social media accounts and I'm gonna pick on Facebook for this one.
QQ ではソーシャルメディアアカウントの情報を販売するために多大な労力が払われています。(スライドでは)一例として Facebook のものを取り上げています。
I think they can take it.
脅威アクターはそれでも(コストがかかっても)やっていけるのだと思われます。
(um) Although as you can see from the ad on the right (uh) companies like Instagram, Twitter, YouTube and Gmail are also included, (um) the market for social media accounts sales is high.
手間はかかりますが、スライドの右の広告を見てもわかるように、Instagram、Twitter、YouTube、Gmail のような企業も含まれていて、ソーシャルメディアアカウントの情報を販売する市場は最盛期です。
(um) So I think in some sense this is about enabling access to these social media accounts that folks normally can't have.
ある意味、こうしたアカウント情報の売買によって、通常は(中国国内で)所有することのできないこうしたソーシャルメディアアカウントにアクセスすることができているのだと思います。
(um) It's about selling accounts at scale and perhaps there's some larger conspiracy at play.
そうした状況は大規模にアカウントを販売しているということであり、何か大きな陰謀が進行中なのかもしれません。
(um) A lot of chatter suggests that they'll use the accounts for advertising, while others may use them for more nefarious purposes such as creating the illusion of the endorsement of a product or even a cause.
多くのチャットがやりとりされているということは、(商品の)宣伝のためにこうしたアカウントが利用されていることを意味します。一方で、そうした人たち以外にも、製品を支持しているような錯覚やそうした動機さえ作り上げるような、より悪質な目的でアカウントを利用している可能性があります。
And so I think especially during election seasons globally when we think about the ability to spin up social media accounts at scale.
ソーシャルメディアアカウントを大規模かつ一斉に発動させる能力について考えた場合、世界的規模の選挙期間中は特に大量のアカウントが必要とされるのだと思います。
(um) You know groups are likely seeking out these types of services in order to... to carry out those campaigns.
もうおわかりかと思いますが、(QQ の)グループはそうしたキャンペーン(組織的な活動)を遂行するために、こうしたタイプのサービスを探している可能性があります。
And then to go one step further.
もう一歩踏み込んでみましょう。
(um) Here's a price list that we obtained as you can see on the top right one account is bought for very little money.
こちらは入手した価格表です。スライドの右上にあるように、アカウント 1 つがごくわずかな金額で取引されているのがわかるかと思います。
(um) A PIN set as you know $2 and 40 cents and so a scalable campaign that could leverage these social media accounts is accessible even to resource restricted groups.
ご覧のように PIN コードのセットも 2 ドル 40 セントですので、これらのソーシャルメディアアカウントを悪用できる低コストのキャンペーンは、リソースが限られたグループでも利用することが可能なのです。
データベースの販売について
(um) When it comes to... to database sales QQ members advertise lots of databases.
データベースの販売に関して言えば、QQ のメンバーは大量のデータベースを宣伝しています。
Essentially the idea it may come as no surprise is to monetize whatever data is previously collected in some cases threat actors advertise a hodgepodge of data and it makes me wonder about their credibility as they look like basically a database junkyard or thrift store.
基本的に過去に収集されたデータを収益化することはもちろんのこと、場合によっては脅威アクターが大量のデータを宣伝しており、言わばデータベースの中古屋やリサイクルショップのようにも見えるので、販売しているデータの信憑性については懐疑的です。
The seller on the right for example (uh) in this advertisement is selling several different kinds of seemingly unrelated databases.
例えば、スライドの右側のこの広告の売り手は一見無関係に見えるいくつかの異なるタイプのデータベースを販売しています。
フィッシングについて
(um) The same threat actor is selling phished emails.
(こちらは)同じ脅威アクターがフィッシングで窃取したメールボックスの情報を販売しています。
(uh) As the language in the redbox shows, the threat actor in this situation (uh) QQ threat actor provided a sample of ten thousand emails that appear to be emails with passwords (uh) seen redacted at left and regardless of its origin or whether or not it's previously disclosed.
赤枠内の言語が示しているように、メールボックスの来歴や過去に漏えいしたかどうかは関係がないようです。スライドの左側に見えるものはマスキングしたパスワードが含まれるメールアドレスのように見えますが、この場合の脅威アクター… QQ の脅威アクターは 10,000 件のメールボックスのサンプルを提供していました。
The fact that this is spreading in QQ I think is significant.
これが QQ で拡散されているという事実は深刻だと思います。
(um) But it goes beyond phish data, right a number of phished... phishing source code files are shared.
一方、こちらはもうフィッシングデータの範疇を超えていて、フィッシングツールのソースコードが大量に共有されています。
Including the ones listed at right and that's a essentially a snapshot of phishing source code files that are shared within the file sharing feature of QQ groups.
スライドの右側にリストされているものも含め、これらは実際に QQ グループのファイル共有機能で共有されているフィッシングツールのソースコードのスナップショットです。
(um) And then the names of some common phishing source codes (uh) that are shared are in the (um) the diagram at right.
スライドの右の表には、よく知られるフィッシングツールのソースコードの名前がいくつかあり、それらが共有されています。
DDoS について
(uh) DDoS is becoming an increasingly popular way for threat actors to threaten organizations.
DDoS は脅威アクターが組織を脅迫するための手段としてますます一般化しつつあります。
DDoS and DDoS's... DDoS as a service are prolific within QQ groups.
DDoS や「DDoS As A Service」も QQ グループ内で頻繁に投稿されています。
And as you can see on the right the use of memes is just one example of a way that threat actors both avoid detection and also implicate kind of an ambiguous use of their skill set.
スライドの右側に示されているように、これはミームを使用している一例に過ぎませんが、(ミームを使用することで)脅威アクターは(当局の)検閲を回避し、(自分たちの)使用するスキルセット(知識や技能)について(故意に)わかりにくくしていることを暗に示唆しています。
So this person, it's not clear if they're doing DDoS for good, for ill or perhaps both.
この人物は DDoS を良いこともしくは悪いことと思って実行しているのか、あるいはその両方なのかもはっきりしません。
A lot of that information comes out when you track the actor or engage them in some way to find out how their services can be leveraged.
こうした情報の多くは、脅威アクターを追跡したり、何らかの方法で脅威アクターに関わったり、彼らの提供しているサービスをどのように悪用するか調べたりする際に明らかになります。
But based on limited chatter that we've seen, most of the DDoS (uh) discussions in QQ, the open discussions.
とはいえ、ご紹介したチャットに限って言えば、QQ における DDoS に関するやりとりのほとんどはオープンなもの(不特定多数のユーザーに公開されているもの)です。
(uh) People express their desire to DDoS gambling sites (um) some payment services sites and also pornography sites.
みなギャンブルサイト、一部の決済サービスサイト、ポルノサイトに DDoS したいと書き込んでいます。
So another example of how QQ is (um) one component of a larger network of threat actors.
そして、こちらは QQ がどのようにして脅威アクターの巨大なネットワークの構成要素の 1 つになっているかを示すもう 1 つの例です。
(um) And I want this point to... to become clear.
その点を解明したいと思います。
And I hope it has is (um) this threat actor's QQ advertises "DDoS As A Service" and then they have a presence on Telegram, and then they go one step further and have a handle and a public-facing site on Twitter.
この脅威アクターは QQ で「DDoS As A Service」を宣伝しながら、Telegram にも進出しています。彼らはもう一歩進んでいて、Twitter にもアカウントと公開サイトを持っています。
So it all comes full circle and obviously the two services on the right Telegram and Twitter are blocked in... in China whereas QQ obviously is still used for prolific.
話を戻しますが、スライドの右側の 2 つのサービス、Telegram と Twitter は中国においてブロック(アクセスを遮断)されていることは明らかです。一方で、そうした状況にも関わらず、QQ は明らかに情報の発信に頻繁に利用されています。
ランサムウェアについて
Obviously, hence there is top of mind for many security professionals nowadays and for good reason.
したがって、今日(こんにち)多くのセキュリティ専門家にとって最優先にすべき事項があり、そうすべき正当な理由があることは自明でしょう。
(um) As far as ransomware chatter is concerned there are ransomware themed groups, (uh) a lot of them at least on the face (uh) advertise (uh) ransomware recovery (uh) techniques or services or just information sharing around ransomware.
ランサムウェアのチャットに関して言えば、ランサムウェアを基調としたグループが存在し、少なくとも表面上はその多くがランサムウェアに関連する復旧技術やサービス、あるいはランサムウェアに関する情報共有を宣伝しています。
Again because it is so popular.
なぜなら、繰り返しになりますが、ランサムウェアは非常に人気があるからです。
But if you look within the file sharing folders of these groups, you do find there are examples of file types being shared that may or may not be malicious may or may not be ransomware.
それはともかくとして、これらのグループのファイル共有フォルダーの中を見ると、悪意がある場合とない場合、ランサムウェアである場合とそうでない場合のように、共有されているファイルの種類ごとにサンプルがあります。
(um) They're there.
サンプルは(スライド上の)そちらにあります。
(uh) This is just one example but I think you know obviously you can (uh) see something perhaps from "NotPetya" on the bottom left.
これはほんの一例ですが、スライドの左下の「NotPetya」には何らかの意図があることは明らかだと思います。
There on the middle top (uh) something implying a relationship to the "WannaCry" ransomware campaigns.
スライドの中央上部には、「WannaCry」ランサムウェアキャンペーンとの関係を示唆するものもあります。
(um) And then you have some (um) (uh) file names that suggest that this ransomware may be... (uh) may be something that is specific to this group or the name.
そして、いくつかのファイル名がご覧になれるかと思いますが、こうしたランサムウェアはこのグループやその名前に特有のものである可能性があります。
In any case is not clear what exactly it is.
いずれにしても、実際のところ何であるかははっきりしません。
And so this presents obviously a challenge for security researchers (uh) to try and uncover and investigate exactly you know how what these files are and how they how they perform or if they even work.
したがって、これらのファイルがどのようなものなのか、どのように動作するのか、あるいはどのように機能するのかを解明し、調査することが、セキュリティ研究者にとって課題となっていることは自明でしょう。
ツールとファイルについて
(um) As far as tools and files shared among groups, I can say that it's prolific.
グループ間で共有されるツールとファイルに関しては、頻繁に投稿されていると言えます。
We have numerous samples from groups that are copies of widely known tools "China Chopper" for example.
例えば、複数のグループにおいて、非常に多くのサンプル…広く知られている「中国菜刀」(China Chopper)というツールのコピーがあります。
On top right well-known tool has been used as a... as an attack vector by APT groups for example.
例えば、スライドの右上のよく知られたツールは APT グループによる攻撃手段として利用されることがあります。
I'm not saying that they're getting their... (uh) their tools from this specific group, but these tools are being shared in the wild.
APT グループがこの特定のグループからツールを入手していると言っているわけではありませんが、実際にこれらのツールは共有され、出回っているのです。
Not surprising, but I think still significant.
驚くことではありませんが、今なお深刻な事態だと思います。
You also have legacy tools such as "Grey Pigeon RAT" (Remote Access Trojan).
(スライドでは)RAT の「灰鸽子远控」(Grey Pigeon)のような古いツールもご覧になれるかと思います。
Second one from the top.
スライドの上から 2 番めのものです。
And then again while sharing tools in the wild is not surprising, I think our aperture or our view into this community of threat actors has traditionally been limited.
繰り返しになりますが、このようなツールが共有されることは驚くべきことではありません。しかしながら、こうした脅威アクターのコミュニティに対する私たちの視野や見方はこれまで制限されてきたのではないでしょうか。
And unfortunately the barriers to entry within Chinese language social media spaces like QQ and WeChat... the barrier to entries are growing increasingly more difficult.
さらに残念なことに、QQ や WeChat のような中国語のソーシャルメディア空間への参入障壁に関して言えば、その壁はますます(乗り越えるのが)難しくなってきています。
And so I think that moving forward as security reachers... researchers we are faced (uh) as all people who are trying to study and understand China which is growing increasingly opaque especially in the information environment.
(このことは)セキュリティ研究者として邁進する私たち…特に情報化社会においてますます不透明になっていく中国を研究し、理解しようとする人たちがみな直面していることだと思うのです。
We're faced with a greater challenges.
私たち研究者は(不正なコミュニティの実態を解明するだけでなく)より大きな課題に直面しているわけです。
(uh) Then add to that... that just the amount of data, (uh) the quantity of data available for analysis is so much greater.
加えて、データ量…分析に使用できるデータ量も非常に多くなってきています。
TTPs について
(um) So lastly I wanted to give you a very crude and simple slide about TTPs.
最後に、TTPs に関する非常にざっくりとした簡単なスライドをご紹介したいと思います。
As far as accessing all these sites outside of China are concerned, even though Chinese authorities do carry out campaigns to crack down on the list of VPNs, there are markets for VPN sales in China, that's still very strong.
こうした中国国外のあらゆるサイトへのアクセスに関して言えば、中国当局は数多の VPN を取り締まるキャンペーンを実施していますが、それにもかかわらず、中国国内には VPN の販売市場があり、それは今なお非常に好調です。
And I think this screen grab to me, just sort of very simply showed you that if you have... if you're writing on Chinese Tele... Telecom like "Zhongguo Liantong", and you have a cell phone, and you have a VPN, and you have a translation tool as this user has all four.
このスクリーンショットは興味を引かれます。「中国聯通」(中国联通,China Unicom)のような中国の電話会社を利用して書き込み、携帯電話を所有し、VPN を契約していて、このユーザーがインストールしているようなたくさんの翻訳ツールを利用すれば、中国国外のクレジットカード(の地下)市場をうまく渡り歩くことができる…そのことをごく端的に表していると思います。
(uh) You can pretty adeptly navigate (uh) the... the card spaces outside of China, for example this "CARD MAFIA" site which I believe is perhaps based in... in Russia.
中国国外においても、クレジットカードの分野をそこそこ手際よく渡り歩くことはできるわけです。例えば、この「CARD MAFIA」というサイトはおそらくロシアに拠点を置いています。
So you don't need a lot to get to the other side.
あちら側に行くのにそれほど手間はかからないでしょう。
不正な QQ コミュニティについて
(um) So I'm just gonna kind of bring it home here.
私はここでがんばってみようと思います。
But essentially (um) the front types being cracked down in China, I think (uh) (uh) areas that matter most to everyday Chinese online users.
実のところ、中国で取り締まりが行われているような分野は、中国の一般的なネットユーザーにとって最も重要な分野なのだと思います。
(um) Authorities have tended to focus on controlling for sensitive content.
当局は機微なコンテンツを統制することに注力する傾向があります。
And the focus I think has been largely on societal unrest.
私はその焦点(核心)は主に社会不安にあると考えています。
So perhaps the types of frauds that they're pursuing are a function of that... of that... (uh) of their... their goal to... to... to rein in anything that cause (uh) instability and... and discomfort for everyday people.
おそらく当局が追跡しているような詐欺行為は…当局は一般の人々に不安定さや不快感をもたらすものを抑え込むことを目標としているのだと思います。
But the fraud types and impact outside of China leverage data that isn't from China and pivot back and forth from China-restricted mediums such as QQ to borderless chat apps like "Telegram".
一方で、中国国外における詐欺のタイプとその影響によって、中国国外のデータが悪用されており、(脅威アクターは)QQ のような中国国内に限定された媒体から Telegram などのボーダレスなチャットアプリへと軸足を移しています。
And I think that this model of cyber underground threat is certainly formal... formidable.
このサイバーアンダーグラウンドの脅威モデルは実に手ごわいものだと思います。
(uh) In the sense that it creates a buffer between domestic Chinese actors and the wider internationalized threat communities, how this is playing out as difficult to know largely.
中国国内の脅威アクターと国際的に規模を拡大した脅威コミュニティとの間に緩衝地帯が形成されるという意味で、こうした詐欺行為がどのように行われているのか知ることは大抵困難を伴います。
Because of a lack of scaled analysis (uh) using different threat types to understand connections between (uh) the activities that happen outside of China and the chatter taking place within China in tools (uh) like QQ and other tools.
というのも、中国国外で発生する活動と中国国内で QQ やその他のツールで発生するチャットとの結びつきを理解するには、様々な脅威タイプを利用して最適化した分析が不足しているからです。
おわりに
(um) So I'm gonna go ahead and (um) conclude with that.
では先に進み、これで締めくくりましょう。
And I welcome any questions.
ご質問があればお願いします。
I'll slide over to "Slido", after this and I hope to see some of you there.
「Slido」に移行しようと思いますので、この後、そちらで何人かの方にお会いできるのを楽しみにしています。
So thanks again very much.
重ねてお礼を申し上げます。
I appreciate your time.
お時間をいただきありがとうございました。
And I'll turn it back over to our hosts.
それではホストの方にお返しします。
参考
- CODE BLUE 2020
- Illicit QQ communities: What's being shared?
- Chinese Cyber Crime A Graph Approach
- Navigating Illicit Online Communities: How Actionable Intelligence Helps Agencies Combat Cybercrime
-
民間企業などが政府や官僚組織へ働きかけを行い、法制度や政治政策の変更を行うことで、自らに都合よく規制を設定したり、または都合よく規制の緩和をさせるなどして、超過利潤(レント)を得るための活動 ↩
-
ある種の人々に特別なリスクが潜んでいるかどうかを企業が精査すること ↩
-
脅威アクターが当局の検閲を回避していることと当局がそれを黙認している(見て見ぬふりをしている)こと ↩
-
「单」は「订单(注文する)」などで使用されるように「注文伝票」のことなので、この解釈は誤りの可能性が高い ↩
-
「网络安全周:织密防护网,全民筑清朗」の記事を参照 ↩
-
「TTPs」は攻撃手口のことで、「戦術(Tactics)」、「技術(Techniques)」、「手順(Procedures)」の頭文字をとった略称 ↩
-
「Card Verification Value」はクレジットカードやデビットカードで不正使用を防止するための特殊コードのこと ↩
-
「EMV」は EuroPay、Mastercard、Visa の間で統一規格されたクレジットカードの仕様のこと ↩