SCAN DISPATCH ：Cyber Crime USA、米国にあった犯罪ISPの全貌

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　スパム、オンライン詐欺、アイデンティティ盗難、マルウエア、偽オンライン薬局や海賊品の販売などの違法ビジネスを行うサーバを多数ホストし、事実上それらを「専門」にしているISPは「サイバー犯罪ISP」と呼ばれる。サイバー犯罪ISPは、ロシアや中国にその大手が存在することが知られていたが、なんと、アメリカにも存在し、長い間、堂々と運営されていることが分かった。「Atrivo - Cyber Crime USA」というホワイトペーパーが、その仔細を暴露している。ISPは、Atrivoと言う名前だ。

　Atrivoの行動は、米国の関係者間では公然の秘密であったが、その全貌が明らかになったのは今回が初めて。「Atrivo - Cyber Crime USA」は、StopBadware、 Emerging Threats、 Knujon、 Sunbelt、 CastleCops、 Spamhausなどの協力を得て書かれた。ドメイン登録会社や多数のサーバ、スポンサーまでを含めた複雑なビジネス形態を、事実をもとに一つ一つ立証しており、Atrivoを中核にした犯罪組織としての規模の大きさには、驚きの声が上がっている。

　このホワイトペーパーを書いたのはサイバー犯罪の研究者であり、RBN (Russian Business Network)の研究で名高いJart Armin氏。今回、Armin氏へメールインタビューを行ったので紹介しよう。

　Armin氏は、RBNのリサーチでAtrivoの存在に気がついており、「偽のアンチウイルスツールと偽のCodecsサイトは、ほぼすべてAtrivoが関連していることが分かっており、（URLを常に変更する）こうしたサイトを一つ一つ報告するよりも、事件の”元”を報告する必要がある」と考え、ホワイトペーパーを書いたそうだ。

　Atrivoはこの犯罪組織の中核となっているISPだが、図のように多数の団体が複雑な関連を保ちながら、組織として運営されている。

図：
https://www.netsecurity.ne.jp/images/article/atrivo_map.jpg

　まず、核となるAtrivoだが、普通のISPがマルウエアが潜んでいるWebサイトをホストしている割合は通常0.01%前後だが、Stopbadware.orgの統計によると、Atrivoではこの割合が常に3％（1,000のIPアドレス）を上回っている。通常のISPの300倍ということである。ひどい月になると6％（2,000以上のIPアドレス）を超えている。マルウエア・サイトの割合で統計をとると、中国のCNNIC-GIANT ZhengZhou GIANT Computer Network Technology Co., Ltd、フランスのINETWORK-AS IEUROP AS、中国のCMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.に次ぐ世界4位のサイバー犯罪ISPだ。

　Atrivoを使ってマルウエア・サイトをホストしているのは、Intercage、Inhoster、Cernal、Hostfresh、Bandcon、Broadwingなどのサーバやホストだ。この中でも97％のトラフィックを司っているのはIntercageで、AtrivoだけでなくIntercageも犯罪組織の中核に存在すると言えるだろう。報道によっては、「Atrivoの別名がIntercageである」と書いてあるものもあり、2社の繋がりは深いようだ。

　こうしたWebサイトの運営を可能とするのは、匿名サービスの数々。EstDomains (匿名ドメイン登録サービス)、 EstHost (匿名ホスティング・サービス)、 PrivacyProtect (匿名ドメイン登録サービス)、 LogicBoxes (ホスティング・サービス）などの名前が、ホワイトペーパーでは指摘されている。去年10月のSunbelt社の調査によると、偽Codecs Webページの100％がEstDomainを使って登録されており、またURIBLの今年8月の調査によれば、76％のスパムが、EstDomainを使って登録されたサーバから発信されている。その他、Directi社関連企業のPDR(Public Domain Registry社）は、KnujOnの調査より、偽オンライン薬局、海賊品を取り扱うWebサイトに利用されている数で世界9位だと指摘している。同じくDirecti社のLogic Boxesは、企業案内のページに「Stargate, CI Host, EST Domains, ResellerClub,Expert Hostなどの、50を超えるICANN認証済のドメイン登録企業のインフラとソフトウエアを支えている」と書いており、取引のあったことを公に認めている。（注：記事執筆時では、LogicBoxesの企業案内ページではEST Domainsの名前は削除されており、「Stargate, CI Host, ResellerClub, Expert Host」が例として使われている）

　Atrivoに対しての苦情は昔から多く、Armin氏によれば「過去5年間、多数の苦情が（Atrivoに）寄せられており、FBIが関係者に事情聴取をしたとも耳にしている」そうだ。が、AtrivoやIntercage自体は犯罪行為を行っていないため、こうした大規模なサイバー犯罪ISPが取り潰されることはない。The ACM (Association of Computing Machinery) Code of Ethics and Professional Conductでは「スパムやマルウエアサイトを発見した場合は対処する」という倫理規定があり、普通のISPはマルウエア・サイトと分かり次第、そのIPを停止する。しかしAtrivoもIntercageも、ホストしているIPがマルウエアサイトだという事実を知りながら、見て見ぬふりをする、つまり、倫理規定に従っていないことは明らかだが、それだけでは犯罪行為にならない。そのため「誰も何もできない、という認識が普通だった」（Armin氏）。

　が、そうした認識に変化が出てきた…

【執筆：米国　笠原利香】

【関連リンク】
Atrivo - Cyber Crime USA White Paper
http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf
The Register記事
http://www.theregister.co.uk/2008/09/22/intercage_goes_dark/
Betanews
http://www.betanews.com/article/UnitedLayer_COO_Giving_access_to_InterCage_is_an_issue_of_ethics/1222396858
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw