質量効果(Mass Effect)とは、冶金の世界では素材の質量によって内部まで焼き入れがされない状態を意味する。医学の世界では(主にガン)細胞などが、圧力や刺激によって増殖が加速する現象を指す。
ではサイバーセキュリティの領域に質量効果がありうるとしたらどんな現象だろうか。
昨 2021 年夏に開催された Blackhat USA で「 The Mass Effect : How Opportunistic Workers Drift into Cybercrime 」( Masarah Paquet-Clouston氏:GoSecure セキュリティリサーチャー、Serge-Olivier Paquette氏:Secureworks データサイエンス シニアマネージャ、Sebastian Garcia氏:チェコ工科大プラハ校 助教授、Maria Jose Erquiaga氏:チェコ工科大プラハ校 マルウェアリサーチャー)という発表があった。タイトルを直訳すると「質量効果:いかに日和見的労働者がサイバー犯罪になびくのか」といったところだ。
●調査対象はとあるロシア語の Web マーケティングフォーラム
この研究は、出自が明確なサイバー犯罪組織やハッカーグループではない集団によるサイバー攻撃の背景や、それに関わる個人の動機を明らかにするために行われた。あまり見ない着眼点だ。
調査対象としたのは、ロシアの、Web マーケティングに関するとあるフォーラムだ。ロシアのサイトといっても、これは決して非合法サイトや闇サイトではない。ごく一般的なサイト運営や SEO、マネタイズに関する話題をとりあげる場である。しかし、法律で明確に禁止されていない手法や、または国や州によっては規制対象外になるような業務や手法についての議論も行われることがある。
たとえば、広告やアフィリエイト、SEO 対策、コンバージョン率向上など、当局の規制下にありながら、グレーな施策・経済活動についての情報交換やビジネス議論が展開されている。このような情報サイトやフォーラムは個人で運営されているものから、プラットフォームビジネスを手掛けるプロバイダーが運営しているものなどさまざまだ。もちろん、サイトの運営ポリシーがそれらを禁止していてもグレーな情報の交換は、コミュニティサイト、ソーシャルメディアにおいて特段珍しいものではない。
研究チームが目をつけたサイトは、Geost というバンキングマルウェア(アンドロイド用トロイの木馬型ボットネットウイルス)を配布していたロシア語フォーラムだ。フォーラムのユーザー数は 40 万人規模。Geost は HtBot というハッカーグループが開発元と見られており、ロシア国内 80 万台のスマホが感染させられたという。
Virus Total で発見されたチャットログから Geost に関する情報を 2017 年 6 月から 2018 年 4 月の期間のおよそ 6,000 件のメッセージを解析し、フォーラムの中核とみられる 3 名の存在を確認した。一人はフォーラムを利用して Geost ボットネットを構築するアントレプレナー(起業者)、二人目はマルウェアやツールの開発者、そして三人目は Geost を仕込んだ APK アプリを配布するサイトの担当する Web マスターだ。
