ハッカーが闇産業チェーンの秘密を暴露：最大の抜け穴はユーザー自身

ハッカーはネットワーク情報を売って利益を得ている。モーニングポストの記者、李俊による地図

昨年末、平文で登録された600万件以上のメールアカウントとパスワードがオンラインで公開されました。昨年12月25日、天亜コミュニティは発表を行い、ウェブサイトのユーザーデータがハッカーの攻撃により盗まれたと述べました。先月末、No.1 Storeの多くのユーザーアカウントの資金が消失しました...私たちの電子商取引アカウント、コミュニティアカウント、メールアカウントは非常に「脆弱」であるように思われ、この「脆弱性」はハッカーと無関係ではありません。

記者は、ハッキング技術が多くの人々にとって利益追求のツールとなっており、「ハッキング」プロセス全体が体系的な操作手順を形成していることを知った。この「ブラック地下産業チェーン」の内情を探るため、モーニングポストの記者は数々の防衛線を突破し、ハッカーの世界へ足を踏み入れた。

アカウント漏洩は頻繁に発生

昨年末には、平文で登録された600万件以上のメールアカウントとパスワードがネット上で公開された。警察は40日以上にわたる綿密な捜査と10以上の省市への巡回を経て、ついにこのユーザーデータ漏洩事件を解明し、さらに4件のネットワーク漏洩事件も解決に成功した。曽氏を含む計5人の「ハッカー」が、コンピューターデータを不法に取得した疑いで逮捕され、刑事拘留された。曽容疑者は、2010年4月にCSDNウェブサイトの抜け穴を利用してサーバーに不正侵入し、ユーザーデータを入手したことを認めた。さらに、チャージプラットフォームとストックシステムにもハッキングしたことを自白した。

同年12月25日、天亜コミュニティは一般向けに発表を行い、ハッカーの攻撃によりウェブサイトのユーザーデータが盗まれたと述べた。

今年5月末、有名電子商取引会社「一好店」の登録ユーザー数名のアリペイ残高が盗まれたが、ハッカーによる犯行と疑われている。では、ハッカーはどのようにしてユーザー情報を盗むのでしょうか?

多くのハッカーは「バックドア」を保有している

モーニングポストの記者は多くの業界関係者に話を聞いたが、彼らの分析はほぼ同じだった。「ウェブサイトが漏洩し、それがハッカーによるものであることが基本的に確認された場合、次の2つの状況が最も可能性が高い。1つは、彼ら（ハッカー）がウェブサイトサーバーの脆弱性を見つけて直接侵入した場合、もう1つは計画的な取得です。彼ら（ハッカー）は事前にターゲットを特定し、一定期間関連企業で作業し、システムに「バックドア」を確保しておけば、情報を「盗む」ことができます。」業界では、ハッカーの行動は「情報の移動」と呼ばれ、「建設作業員がレンガを動かすのと同じように」と言われています。

ハッカーとは誰なのか？記者はさまざまなコネクションを通じて、ハッカーの長いリスト、つまりオンライン名とそれに対応するQQ、MSN、電話番号の文字列をまとめた。しかし、彼らは知らない記者に対しては非常に慎重だった。何日にもわたる連絡と捜索の後、ついにハッカーのダラン（仮名）が記者の前に座った。ダラン氏は、法律の抜け穴を探し、利益のために情報を盗み、法律の枠を越える行為をするハッカーが確かに存在することを認めた。

「ホワイトハット」が登場し、ハッカー界の秘密を暴露

ダランは髪が短く、体格は中肉中背で、筋肉が強く、清潔感のある黒いシャツを着ています。彼は話すときは頭を下げ、とても内気な人でした。昼夜を問わずコンピューターの前で上半身裸でプログラムを書き、食事や睡眠も忘れているような想像上のハッカーとはまったく異なっていました。

ハッカーの仕事は抜け穴を見つけることだ

10年以上前、ダランがまだ学生だった頃、彼はコンピューターサイエンスを専攻に選びました。当時、インターネットが普及し始めたばかりでした。インターネット上では、一部のハッカーが互いに「戦い」、お互いのウェブサイトのホームページを改変しており、ダランはそれに魅了されていました。

2002年4月に彼は初めてQQのパスワードを入手し、同年6月に初めてホームページを修正し、写真や音楽を挿入して大朗さんを大いに喜ばせた。ハッキング技術を学び始めた当初は、主に虚栄心を満たすためだったと彼は言う。「都市を征服し、要塞を占領する」ことを繰り返したことで、彼は多くの賞賛を受け、大きな「達成感」を感じたという。

ダランさんは30代で、インターネット技術会社で情報セキュリティエンジニアとして働いている。彼はハッカーの中では「ホワイトハット」であり、「私は情報セキュリティ愛好家に過ぎません。抜け穴を見つけるのが私の仕事です」と語った。抜け穴を見つけるには、いわゆる「バックドア」、つまり「ドアを開ける鍵」となるユーザー名とパスワードを探す必要がある。 「ホワイトハット」とは対照的に、「ブラックハット」と呼ばれる別のハッカーのグループが存在します。 「ホワイトハット」の目から見れば、彼らの仕事は情報漏洩を防ぐために情報セキュリティを「防御」し維持することであり、「ブラックハット」の仕事は攻撃し、法律の限界を歩き、抜け穴を探し、利益のために情報を盗むことです。

ほとんどの場合、日中は通常通り仕事をしています。

ダラン氏は、ハッカーには何も不思議なところはないと語った。実生活では、彼はただの普通の人間であり、日常生活は非常に規則的である。大朗さんは毎朝7時45分に起きて、身支度をし、朝食を食べて仕事に出かけます。「途中で微博をチェックして、いろんな情報を入手します。」大朗さんが最近心配しているのは、その月のナンバープレートの写真を撮れるかどうかです。もちろん、彼は自分のハッキング技術が使われれば役に立たず違法になると感じていた。「忘れてください。もっとお金を用意します。」

ダランの周囲にはハッカーがたくさんいる。彼の知る限り、昼間は、彼らはシェフや法律関係の仕事をしていたり​​、患者を診断して薬を処方する医師でもあった。夜になると、彼らのアイデンティティはただ一つ、ハッカーとして、互いにコミュニケーションを取り、学び合うことだけになります。

毎週末、決まった時間に別のハッカーがダランと会っていた。彼の名前は慕容荘（仮名）で、1980年代生まれ。かつてはダランの同僚だったが、現在は別の会社で情報セキュリティエンジニアとして働いている。ハッカーになるための道を歩む彼のガイドはダランです。

慕容荘さんは国内でコンピューターサイエンスを学び、その後海外に留学してコンピューターサイエンスの修士号を取得しました。 2008年に中国に帰国後、ハッカーに対する好奇心からハッカーになりました。慕容荘は自身の情報セキュリティチームを持っている。「チームの存続のために、私たちは各方面から資金を得るために戦わなければなりません。」彼は、ハッキング技術に頼って情報を「移動」して売るのではなく、優れた雄弁と確実で十分なネットワークセキュリティ情報レポートに頼って経営陣を説得していると語った。

必修科目「ソーシャルエンジニアリング」

部外者にとって、ハッカーが手にしている武器は複雑で洗練されたハッカー プログラムです。現在、多くのQQグループやウェブサイトには、ハッカーの達人やトップマスターになることを決意し、どんな犠牲を払ってでもハッキングプログラムを購入するために、わずか数百元から数千元を費やすことをいとわないネットユーザーがまだたくさんいます。

しかし、おそらく彼らは一つ忘れていることがある。それは、良い剣だけでなく、優れた武術も身につけなければ、誰からも尊敬される騎士になれないということだ。ハッカーはコンピューターの知識に熟達しているだけでなく、さらに重要なことに、独自のハッカー秘密を持っている必要があります。

ダランについて尋ねられたとき、彼は真のハッカーにとって、どんなユニークな秘密も最終的には「慎重さ」という2つの言葉に集約されると語った。 「抜け穴を探して突破口を見つけるときは、慎重になることが非常に重要です。」

ダラン氏は、抜け穴を見つけるプロセスは、実際には習得したさまざまな知識を完全に適用することを学ぶことであり、もちろん、少しの運も関係すると述べました。 「対象者の名前、フルスペルと略語、電話番号、誕生日、住所、メールアカウント、さらにはペットの名前まで検索します。できる限り詳しく、できる限り完全に検索してください」とダラン氏は語った。 Dalang はこれらの個々の情報を組み合わせて「辞書」を生成し、それをプログラムでテストしてさまざまなパスワードの組み合わせを作成します。「パスワードとユーザー名の設定は、常に人々の生活に密接に関係しています。」

これは「ソーシャルエンジニアリング」と呼ばれる分野に属し、ハッカーにとって必修科目となっており、現在でもハッカーの間で広く使用されています。

「移動する」データベースは何度も所有者が変わる

ダラン氏の印象では、ブロードバンドが普及した時期にハッキング技術は利益を上げるためのツールになったという。 「この技術を習得したハッカーの中には、インターネットカフェに行って課金システムの残高を改ざんし、デポジット額を10元から20元に変更する者もいる」。その後、この技術は金儲けに利用された。「大胆なハッカーたちは残高を100元に変更しただけだ。こうすれば、無料でネットサーフィンできるだけでなく、料金を支払ったときにお金を『稼ぐ』こともできる。1日に5軒のインターネットカフェに行くだけで、かなりの収入になる」

次第に、同様の利益を上げる手法が、現在では「闇の地下産業チェーン」として知られるようになった。例えば、かつてはQQ番号を盗む行為が横行し、「アカウント窃盗・アカウントクリーニング」が明確な分業体制で固定化された産業モデルとなっていた。 「チームをユニットとして、ハッカーツールの製造、攻撃を実行する具体的な方法、アカウントをクリーンアップする方法（収益化）など、体系的な運用プロセスが形成されています。」慕容荘は、専門家が集まる一部のQQグループでは、人々が頻繁に「賞金」を出すことを明らかにしました。「データベースを「移動」するには、報酬は数万から数十万になります。」実際、買い手がAの場合、情報はB、C、Dを介して何度も渡され、情報を取得する必要がある売り手も、誰かが最終的に引き継いで完了するまでに、E、F、またはさらに多くの転送を経る必要があります。

これは法的措置を回避するために行われます。 「最高人民法院と最高人民検察院によるコンピュータ情報システムの安全を脅かす刑事事件の処理における法律適用の若干の問題に関する解釈」によれば、支払決済、証券取引、先物取引などのオンライン金融サービスにおける身分認証情報を10セット以上入手した場合、または上記以外の身分認証情報を500セット以上入手した場合、コンピュータ情報システムへの不法侵入の罪を犯したものとみなされ、3年以下の有期懲役または拘留に処せられる。

[ハッカーのアドバイス]

最大の弱点は自分自身だ

「最大の抜け穴はシステムでもプログラムでもなく、人だ」これはインタビューの中で慕容荘が繰り返し言及したことである。昨年末、CSDN漏洩事件後、彼はわざわざデータ一式をダウンロードし、友人のユーザー情報を発見した。

慕容荘さんは友人にすぐにパスワードを変更するようアドバイスしたが、相手は「それは重要ではない」と言って気にしなかった。しかし慕容荘さんは友人がCSDNに登録する際に163メールボックスを使用していたことを発見した。つまり、そのメールボックスも漏洩することになる。

彼は相手にメールボックスのパスワードを変更するように注意しましたが、友人によるとこのメールボックスはあまり使用されていないとのことでした。

Murong Zhuang は友人の CSDN パスワードを使用して、実際にこの 163 メールボックスにログインしてみました。それを読んで彼はショックを受けた。友人はこのメールボックスを使ってアリペイを登録していたのだ。つまり、このメールボックスにログインした人は誰でも、パスワードを変更することで慕容荘の友人のアリペイアカウントの残高を不正に送金できるのだ。その時初めて友人は問題の深刻さに気づき、慕容荘のアドバイスに従ってパスワードを変更した。

慕容荘氏は記者団に対し、セキュリティ意識を高め、より秘密のパスワードを設定することでハッカーを効果的に防ぐことができると語った。

「特に注意すべきは、携帯電話にはインターネット接続機能が搭載されているということだ。携帯電話を紛失すると、携帯電話内のアドレス帳、チャット履歴、写真などがクラッキングの鍵になる」と慕容荘氏は述べた。ハッカーがもっと用心深ければ、クラッキングの材料として相手のインターネット記録も収集するだろうという。

[記者ノート]

検索は競争である

記者らがハッカーらにインタビューの依頼を送ったところ、多くは「懸念が多く、暴露されるリスクがある」として即座に拒否した。

ジャーナリストを狙うハッカーもいる。 6月8日の朝、ハッカーが記者のメール受信箱に添付ファイルを送信しました。実はこれはアカウントを盗むソフトウェアでした。ダウンロードして解凍した後、クリックして実行すると、QQが自動的にオフラインになり、同様のページウィンドウがポップアップ表示され、QQ番号とパスワードの入力を求められます。記者はQQ番号と対応するパスワードを入力するだけで、すぐに相手に送信されます。幸いなことに、多くのウェブサイトでは、このようなトリックには注意するよう繰り返し警告しており、記者もこのソフトウェアの原理をよく知っていたため、騙されることはなかった。

大朗に会う前に、記者がQQ番号を入力すると、彼はすぐにダイアログボックスに「あなたは確かに記者です」と言いました。そして、記者の名前、通常の電話番号とメールアドレス、出身地と出身校を正確に報告しました。記者をさらに驚かせたのは、記者が最近頻繁に連絡を取っていた同僚数名が誰なのか、彼が正確に知っていたことだ。

「あなたのQQのパスワードも知っています」記者はインタビュー前に準備し、ダイアログボックスに相手のパスワードを入力した。

「このパスワードは以前も使っていましたが、数日前に変更しました。どうして分かったのですか？」記者の意見では、おそらくこのかつて使われたパスワードが明らかになったからこそ、ダランは記者と話をしようと決めたのだろう。

原題：ハッカーが闇産業チェーンの秘密を暴露：最大の抜け穴はユーザー自身

キーワード: ゲスト開示、秘密の地下、業界、最大、抜け穴、ユーザー、自分自身、ゲスト パス、パスアウト、ネットワークの販売、ウェブマスター、Web サイト、Web サイトのプロモーション、金儲け