Kaspersky Labの調査分析チームの調査で、不正侵入によって入手したサーバーのアクセス情報を売買するフォーラム「xDedic」に、今年5月の時点で、416の売り手による70,624台のリモートデスクトッププロトコルサーバーの情報がリストされていることがわかりました。
サーバーの所在国は173にわたり、そのトップ10はブラジル、中国、ロシア、インド、スペイン、イタリア、フランス、オーストラリア、南アフリカ、マレーシアで、日本は33番目にランクされています。
xDedicはロシア語話者のグループによって運営されているものとみられ、2014年から活動を開始し、2015年中盤から急速にサイバー犯罪者の間で広まりました。
フォーラムで売買されているサーバー情報の多くは、人気のある消費者向けのWebサイトやサービスのホスティング、もしくはそのようなWebサイトへの接続を提供しています。
これらのサーバーは、所有している組織自体を標的とした攻撃や、ほかの攻撃の踏み台として悪用される可能性がありますが、所有者である政府機関、企業や大学はその事実にほとんど気づいていません。
xDedicは会員制のフォーラムで、パートナーと呼ばれる「売り手」は、総当り攻撃(ブルートフォースアタック)などによって窃取したサーバーの認証情報をxDedic上に登録します。
xDedicでは「買い手」が購入時に検討する可能性がある情報を自動で調べるためのツールが提供されており、「売り手」はそのツールを使ってサーバーのRDPの構成やメモリーサイズ、インストールされているソフトウェア、Webサイトの閲覧履歴などの詳細な情報をxDedicへ送信することで販売リストに登録されます。
フォーラムの会員は、最低価格1台あたり6ドルで、そのサーバーのあらゆるデータにアクセスすることができ、標的型攻撃、マルウェア感染、DDoS、フィッシング、ソーシャルエンジニアリング、アドウェア攻撃など、ほかの攻撃を仕掛けるための踏み台としても利用できます。
サーバーの正規の所有者は不正侵入に気づいていない場合がほとんどで、攻撃者は犯罪活動を終えた後、そのサーバーを再び売りに出すこともできます。
xDedicの運営グループは、取引の場を提供しているだけで、売り手とのつながりや提携はないと主張しています。
以下
http://www.jiji.com/jc/article?k=000000036.000011471&;g=prt