儲からないサイバー犯罪!?　中国のボットネット産業規模は年間36億円

May 29, 2017 08:00
by 牧野武文

中国セキュリティ企業「360」は、『DDoS攻撃商業破壊力研究報告』を公表した。目を引くのは、DDoS攻撃の武器となるボットネット構築を地下産業のひとつであると位置づけ、その産業規模を推計している点だ。それによると、ボットネット産業は年36億円の産業規模であるという。

DDos攻撃を受けやすいサイト

360脅威情報センターが観測をした世界中のDDos攻撃は2789万9410回、攻撃されたサイトは77万6095（2015年）。ひとつのサイトが平均で年間35.4回のDDos攻撃を受けている計算になる。

メディアでは、DDoS攻撃というと、銀行サイトやECサイトなどを攻撃し、損害を与えようとするもの、あるいは政治的な信条からそれに反する公的機関サイトを攻撃するものなどが一般的であるかのように報道されている。しかし、研究報告の統計によると、最も多い標的は、違法サイトだ。具体的には、版権を無視したゲーム、アダルト、ギャンブルなどのサイトが33.7%と最も多い。

意図や動機は推測するしかないが、常識的に考えて、ライバルサイトの運営者が敵をつぶすために攻撃をする、不快な思いをした利用者が攻撃をする、存在自体を不快に思う政治的、宗教的信条をもつ集団が攻撃するなどのいずれかであると考えられる。

攻撃目標

攻撃目標として最も多いのは違法サイト。ギャンブル、違法アダルト、違法配信サイトなどだ。その次に、ECサイトなどの生活関連サイト、企業サイトが続く

攻撃後の通信量の変化

大規模攻撃は第３週目に入っても減少しないが、中規模攻撃以下は減少をしていく。長期の大規模攻撃と、短期の小規模攻撃の二極分化が起こっていることがわかる

中国はキョンシー王国

DDoS攻撃をするには、マルウェアを感染させて支配下に置いたPC群、つまりボットネットを構築しておく必要がある。このボットネットに、C&C（Command and Contorol）サーバーから命令を出すことによって、標的に大量のパケットを送りつけることができる。

中国では、このボットネットは、ゾンビネットの訳語として殭屍（jiangshi）ネットと呼ばれている。死後硬直をした遺体のことで、広東語では「キョンシー」になる。元々は、遺体を故郷に帰してやるのに、道士が呪術で遺体を歩かせたという伝説からきている。このキョンシーネットに命令をするC&Cサーバーは、俗に「キョンシー王」と呼ばれている。

このキョンシー王（C&Cサーバー）の約45％は中国に存在している。２位の米国は20%弱なので、中国はキョンシー王国だと言って差し支えないだろう。なぜ中国はボットネット大国なのか。それは背後にボットネット構築の地下サプライチェーンが存在し、ボットネット構築が産業化されているからだ。
　
（1）マルウェア作者がキョンシー化するマルウェアを作成する
（2）ダークハッカーがマルウェアを感染させキョンシーネットを構築する
（3）仲介業者がDDoS攻撃の実行集団とキョンシーネットのマッチングを行う
（4）実行集団がDDoS攻撃を実施する

というプロセスが確立している。

C&Cの分布

C&Cサーバーの45％は中国にある。そのため、DDoS攻撃は中国から行われることが多いが、ボットネット構築が産業化していることが大きく関係している。外国人が中国のボットネットをレンタルして、攻撃することもあるので、「DDoS攻撃の発信元が中国だから、中国による攻撃」と決めつけてしまうと、本質を見誤ってしまう可能性がある

ボットネット運営はブラック労働に支えられている？

さらに、360の研究チームは、仲介業者を取材して、ボットネットのレンタル料の相場を調べ上げた。それによると、最も規模の小さいボットネットでは、1日のレンタル料が30元。1ヵ月レンタルすると500元と半額近い割引価格になる。また、攻撃通信量が5Gbpsを超える大規模ボットネットでは、1日のレンタル料が300元、1ヵ月では9800元程度になるという。

研究報告では、このような情報から、ボットネット構築の産業規模を推測している。それによると、1.18億元から2.59億元、平均して2.3億元前後になるのではないかという。

これは年商36億円に相当し、産業規模としては決して大きいとは言えない。大規模ボットネットでも1ヶ月のレンタル料は9800元（約15万5000円）で、これをマルウェア作者、ボットネット構築者、仲介業者の３者で分け合うことになる。つまり、大規模ボットネットをひとつ構築したぐらいでは、生活をしていくことも厳しい。

DDoS攻撃は年ごとに増加傾向にあるが、それは、搾取のひどいブラック労働に支えられているのかもしれない。ボットネットの中国での地域分布を見ても、深圳市、広東市がある広東省が突出をしているが、それ以外は河南省、山東省、安徽省といった農村の多い省に均等に分布している。この産業規模では、先進国では、このような逮捕リスクのある低賃金労働に従事しようと考える人は皆無に近いだろう。労働対価の問題から、先進国ではボットネットの維持が難しくなっている。

DDoS攻撃の発信元が中国であることが多いのは、IT知識をそれなりに持っていても、低賃金労働にしか就くことができないという中国地方都市特有の事情があるのかもしれない。もし、この推測が正しいとすると、今後、ボットネット産業は、より低賃金で、ITインフラがこれから発達する中国辺境部や東南アジア各国にシフトしていくことになるのかもしれない。

ボットネットの価格

構築されたボットネットは、仲介業者の手に渡され、攻撃者にレンタルされる。その価格は意外に安い。大規模ボットネットでもレンタル料は月額9800元（約15万5000円）だ

ボットネット分布

中国のボットネットは、意外に地方に分散している。目立つのは深圳市、広東市がある広東省ぐらいで、それ以外は農村の多い省に存在している

ニュースで学ぶ中国語

殭屍（jiangshi）：死後硬直を起こした状態の遺体。広東語ではキョンシー（geongsi）にある。ボットのネットのことは、ゾンビネットの訳語として、キョンシーネットと呼ばれる。命令を出すC&Cサーバーは「キョンシー王」。