サイバー犯罪者を数学で捕まえる

サイバー犯罪者の活動を数学的に分析すれば、一定のパターンが見えてきます。人間の行動は予測しやすいもので、サイバー犯罪者といえど例外ではありません。

数学は大切です。本当に。子供のころに学校の先生からこんな風に言われたら、うんざりした気分になったかもしれません。でも、人間の行動はかなり予測可能であり、この予測に数学が役立ちます。少なくとも私たち人間の行動は、数学で説明がつくのです。ありがたいことに、これはサイバー犯罪者にもあてはまる話です。

math-catch-criminals-featured

ハッカーをはじめ、インターネットを使って「仕事」している犯罪者(麻薬のディーラーや銃の密売人など)は、素性を突き止められないように精いっぱい努力しています。Torを使って通信してみたり、ハンドルネーム(地下フォーラムで使うニックネーム)を変えてみたり、特別な匿名化ツールを使ってみたり。

とはいえ、サイバー犯罪者もやはり人の子。社会的な慣習や周囲の状況にとらわれています。新年を祝い、夜になれば眠り、仕事にも出かけます。さらに、複数のアカウントから同時に投稿することもできません。理論的には、ボットを作成し、犯罪者本人と同時にそのボットが何かを投稿することは可能ですが、それはまた別の話です。

ネット上で活動すれば必ずデータが生じるので、分析に足るデータが集まれば犯罪者を捕まえやすくなります。警察当局のためにフォレンジック調査を実施している解析企業は数多くありますが、Recorded Futureもその1つです。同社の最高経営責任者(CEO)であるクリストファー・アールバーグ(Christopher Ahlberg)氏は、Security Analyst Summit 2016で、数学を活用してネット上の犯罪者を捕まえる方法を明らかにしました。

Recorded Futureはデータ収集プロセスを自動化し、サイバー犯罪者の間でよく使われる500超のフォーラムから情報を集めました。4年以上にわたり7言語でデータを収集した結果、面白い事実が見つかりました。

興味深いことに、サイバー犯罪者はハンドルネームをほとんど使い回さないようなのです。Recorded Futureが742,000個のハンドルネームを追跡したところ、98.8%は他の名前と重複していませんでした。それにもかかわらず、分析の結果、同一の犯罪者によって使われているハンドルネームを突き止めることができました。ハンドルネームをあちこちで使い分けるのは簡単でも、行動を変えるのはずっと難しいのです。

活動スケジュールや話し方のパターンを分析すると、まったく無関係に見えるアカウントの間に関連性を見出すことができます。最もわかりやすく、目立った特徴を示すのが、インターネット活動のスケジュールです。異なる複数のアカウントが次々とオンラインになったとしたら、どれも同一人物のアカウントである可能性大です。

image00

上のスクリーンショットをご覧ください。Hassan20というユーザーがオフラインになると、すぐにCrisisというユーザーがログインしています。おそらく、この2つのアカウントは同一人物のものです。このやり方で、1つのグループに属するメンバーを洗い出すことができます。メンバーは一定の期間、連携して「業務」を行うために同時に活動するからです。

あるグループのメンバーたちが1日中オンラインのままだとしたら、タイムゾーンの異なる世界各地に散らばっているか、そういう印象を与えようとしているかのどちらかです。

image03

ハッカーが仕事を休む時期や仕事量の多い期間を詳しく調べると、国籍がわかります。たとえば、イスラム教の国に住む犯罪者は、ラマダンの時期に活動が活発化する傾向にあります。熱心な信者でないならその時期はすることがないので「仕事」をするしかない、ということでしょうか。また、イスラム革命記念日のあたりもかなり活発に活動します。ロシアのハッカーの場合、仕事の山場は12月の最終週です。面白いことに、みんな新年を祝っているのです。サイバー犯罪者でさえも。

image02

闇のネットワークに限らず、合法的なインターネットの世界でも、さらに詳しい形跡や特徴を洗い出して似たような習慣を持つ人物を見つけ出すことができます。犯罪者も、私たちと同じように趣味を持っています。SNSを使い、どこかで休暇を過ごし、さまざまなWebサービスを利用して映画を見たり、本を読んだりしています。こうしたWebサービスやSNSは、Torとは違って犯罪者のリアルな姿を示してくれるので、最終的に逮捕につながる可能性が高くなります。

image01

上の画像は、ロンドンで麻薬を売買する地下サイトの活動を分析したものです。ご覧のとおり、Abraxasというユーザーはこのサイトの管理者です。さて、この人物について何がわかるでしょう?どうやら、Abraxasが2日間留守にしていたため、麻薬のディーラーたちは損をしたようです。Abraxasは休暇でどこかへ遊びに行ったのでしょうか?それとも風邪を引いた?このような事実が十分に集まれば、フォレンジック企業は実在の人物を探すことができるのです。

さらに、あなた自身も黙って見ている必要はありません。犯罪者が行動パターンを変えるように仕向け、正体を現すようにした方がずっと上手くいく場合があります。アールバーグ氏は、この手を使って進めた捜査が見事成功したケースを知っていると断言していました。安全上の理由から詳しいことは教えてもらえなかったので、ここでは有名な例を使って、この手法を分析してみましょう。

サイバーセキュリティのエキスパートは、ある法則に気付いています。その法則とは、開発者がパッチを公開すると、すぐに誰かがこのパッチをリバースエンジニアリングしてエクスプロイトを作成する、というものです。システムのアップデートプログラムをすぐにインストールしない人は大勢いて、こういう人がやる気満々のサイバー犯罪者の標的になります。Microsoftはパッチを火曜日(米国日付。日本では水曜日)にリリースすることにしているため、「パッチの火曜日、エクスプロイトの水曜日」というフレーズが登場しました(英語記事)。これは先ほどの法則を言い表しています。

つまり、パッチは諸刃の剣となっているのです。一方ではユーザーを保護しながら、もう一方では、ハッカーにとって、まさにうっかり者のユーザーを引っかけるための手段となっています。それだけではありません。「パッチの火曜日」のおかげで、パッチがリリースされてから数日間、ハッカーは一生懸命働かざるを得なくなりました。

Microsoftは図らずも、毎月第2・第4水曜日のハッカーのスケジュールを変更してしまったのです。セキュリティのスペシャリストも同じように綿密な作戦を立て、ハッカーを挑発すれば、正体を暴くことができます。そして、これがスペシャリストの仕事なのです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?