ただのアマチュアハッカーがサイバー犯罪者へと変貌するフォーラムがあるとして、マカフィーが注意を呼びかけている。

フォーラムでは、キーロガーやリモートアクセスツールといった悪意あるソフトウェアをダウンロードできる。経験が浅いハッカーであっても、金銭目的で悪意あるスレッドを作って待てば、簡単にサイバー犯罪に手を染める可能性がある。

同社が提示した例では、あるハッキングフォーラムで投稿されたコードスニペットで、ファイルに「.scr(スクリーンセーバー)」のファイルが埋め込まれていた。

抽出されたこのファイルの中身は、KeyBaseと呼ばれるキーロガー/パスワードスティーラーで、スキルがほとんどなくても、悪意あるプログラムを作成できる。さまざまな設定オプションのチェックボックス選択だけで、著名なメールクライアント/ブラウザや一般的に知られているアプリケーションからパスワードを盗みとれる。

KeyBase

マカフィーでは、このKeyBaseキットを複製し、コントロールサーバーを調査。すると、コントロールサーバーに表示されているユーザー名が複数の悪意あるフォーラムに登録されていることがわかったという。このユーザーは、悪意あるキットを複数ダウンロードした形跡があり、その多くは2013年に残されたものだった。

2013年にフォーラムで活動していたサイバー犯罪者

そこから、過去に「悪意のある行動に関与しているか」を調査。すると、ファイルの日付が今年1月となっている「HawkEye」と呼ばれるキーロガーが見つかった。このユーザーは、ハッキングフォーラムにメールアドレスを関連付けており、このアドレスで登録されている5つのドメインがマカフィーの調査でわかった。これらのドメインはすべて運用されていなかったものの、以前、または将来的に悪意ある目的で利用される可能性が高いという。

配布されていたキーロガー

また、同じユーザーがファイル共有サイトで12件のファイルをアップロードしており、50万件近いメールアドレスが載ったテキストファイルが見つかった。これらのアドレスは、マルウェアを拡散させる目的で利用された可能性が高いとしている。このように、過去にもただのハッカーがサイバー犯罪に加担する人物になっていることから、フォーラムの危険性を啓蒙するとともに、スキルのあるなしに関わらず、こうしたツールが蔓延していることから、サイバー犯罪に注意するようにマカフィーは呼びかけている。

コマンド&コントロールサーバーなどに使用されるとみられるドメイン