ハッカーの儲かるビジネス：信仰なし、あるのは狂気だけ！

2011年12月21日朝、ハッカーが中国最大の開発者コミュニティであるCSDNのユーザーデータベースをオンラインで公開し、登録された600万以上のメールアカウントとそれに対応するプレーンテキストのパスワードが流出しました。12月22日には、Renren、Tianya、Kaixin、Duowan、Jiayuan.com、Zhenai、Meikong、Baihe、178、7K7Kなどの有名なWebサイトのユーザーアカウントとパスワードが漏洩したことがオンラインで明らかになりました。

これは中国のインターネット史上最大規模のハッキングだ。業界関係者によると、この事件はハッカーコミュニティの「自分のスキルを披露したり、少しお金を稼いだりして、それを広めない」という基本方針を破ったという。ユーザー情報漏洩事件は、ハッカーとその背後にある秘密産業チェーンに対する人々の強い関心を再び呼び起こした。以下はハッカーの口頭による説明です。

KFCを買った「リーダー」

違法な産業で財を成し、後に財産を整理して800万元でKFCレストランを購入した男を私たちはリーダーと呼んでいます。

リーダーは海南省出身で、1987年か1988年生まれ、体格は細身で肌は黒い。彼は若いのに、お金を使うのが得意で、とても寛大で、物事を大人びてやっています。2004年頃（16歳）は、人との付き合い方もとても大人びていました。彼の性格が何によってこうなったのかは想像しがたいです。

2003年末、私はQQグループに参加しました。当時、そのグループは技術的侵入の分野で非常に影響力がありました。参加を希望する人は数え切れないほど多く、席を確保するのは困難でした。グループ内のチャット履歴は 1 日 3,000 ページに達することがあります。全員が非常に純粋で、純粋に技術的な交流を目的としています。 2004 年に、リーダーはハッカー ベースに登録し、いくつかの簡単なことを学んだかもしれませんが、学んだことを完全に理解していなかったため、このグループに参加しました。グループ内で、私は彼が17173（ゲームポータルサイト）の権利をめぐってグループのオーナーと交渉しているのを目の当たりにした。グループのオーナーは700元を提示したが、リーダーは500元しか要らないと言った。1年半後、誰かが同じ権利を買うために15万元を提示した。

当時は、17173の権限を悪用して金儲けができるとは誰も思っていませんでした。 端的に言うと、ウェブサイトを乗っ取ってトロイの木馬をインストールし、ユーザーアカウントとパスワードを入手して「Legend」や「Magic Baby」などのオンラインゲームのアカウントを盗むのが実際の目的だったのです。後で誰かに聞いたところ、リーダーはこの注文で2万～3万元稼いだかもしれないと分かりました。

このリーダーは、2004年に台湾のゲーム市場に参入して本格的にキャリアをスタートしました。彼は先駆者でした。彼は独自のチャンネルを構築し、台湾の現地人と協力しました。オンラインゲームのアカウントを盗んだ後、現地人にゲーム機器の販売を任せ、取引金は偽造身分証明書を使って現地人が開設した口座に振り込まれました。 2004年後半から2005年前半にかけて、このリーダーは台湾で推定500万元を稼いだ。台湾の人々は恐怖を感じ、その後多くのウェブサイトが中国本土からのアクセスを禁止した。その後、リーダーは韓国とアメリカのゲーム市場に進出し、2008年（当時20歳）に事業を軌道に乗せるまでに、2000万元以上の利益を上げました。彼は非常に有名な人物であり、どの国を訪れたか、何軒の家を買ったか、どんな車を買ったかなどについてグループ内でよく話します。

リーダーのスキルは優れているわけではないが、ビジネスマインドを持っている。技術的な観点から見ず、純粋に侵入レベルという点から見れば、中国国内のハッカーは常に世界のトップ国のハッカーに劣らず、米国やロシアよりも強い可能性もある。中国人は計算が得意で、侵入のアイデアも比較的賢い。

私自身もその例を見たことがあります。 2004年末、ハッカーがノートパソコンを持って5つ星ホテルに侵入しました。翌日ハッカーが出てきたときには、ホテルの顧客データがすべてコンピューターに保存されていました。これはホテルの競合ホテルから彼に出された命令だった。顧客を全員奪い取るのだ。私は取引の交渉から打ち合わせまで彼に同行し、その後このデータは129万元で売却されました。

私が自分の目で目撃したもう一つのことは、電子商取引のウェブサイトで注文を獲得することです。長沙には、大手電子商取引サイトのデータベースにバックドアを設置し、ローカルでデータベースをリアルタイムに更新したり、電子商取引サイトのバックエンドに直接アクセスしてデータを閲覧したりするグループがいる。彼らは通常、代金引換で支払う顧客を選びます。誰かが注文するのを見ると、すぐに最短時間で商品を発送します。彼らの行動はeコマースサイトの物流よりも速く、そのサイトのふりをして顧客に署名をさせます。顧客が注文した商品が実際に到着すると、顧客は間違いなく受け取りを拒否するでしょう。このグループは、特に衣料品、アダルト商品、ダイエット商品など、出荷量の多い商品をターゲットにしています。各ウェブサイトから 3 ～ 5 件の注文を盗むため、ウェブサイト側で検出するのが困難です。しかし、彼らは40～50のウェブサイトから盗みを働いており、純利益は年間2000万元以上ありました。

これよりもさらに悪質なビジネスは、オンラインバンキングやクレジットカードを通じて金を盗むことですが、こちらの方がさらに危険です。この国でこれを敢えてする人はほとんどいません。私の元部下のうち2人は、これをした罪で今も刑務所にいます。中国のオンラインバンキングの口座を盗んだオーストラリア人を私は知っています。彼は台湾と香港から何人かの人を雇って中国本土に来てもらい、他人のオンラインバンキングの口座から送金したお金を引き出す手伝いをしてもらうために月に1万元を払っていました。彼は一度、入手した銀行カードのスクリーンショットを私に見せてくれた。それはカード所有者の支払い記録だった。月々の支払い額は約1000万元だった。台湾のレコード会社への支払いが1件あり、メモには「ジェイ・チョウの出演料」と書かれていたことを私ははっきりと覚えている。銀行のU-Shieldが役に立つかどうかはわかりません。私はICBCのオンラインバンキングを使用しています。以前に試したことがあります。少なくとも、第1世代のU-Shieldのアルゴリズムは強力ではなく、コピーされる可能性があります。 Qihoo 360 の統計によると、中国のウェブサイトの 83% に依然として脆弱性が残っており、そのうち 34% は高リスクの脆弱性です。 「」

ネットで噂されている5000万元稼ぐハッカーは見たことがありませんが、1000万元稼ぐハッカーはたくさんいます。北京にはそういう友達がたくさんいます。彼らのほとんどはちゃんとした仕事に就いておらず、有名でもありません。しかし、正直に言うと、彼らは皆労働者であり、この業界チェーンの本当の大物はチャネルディーラーです。誰かがチャネル ディーラーに注文すると、ディーラーはハッカーと価格交渉するために何人かの人を雇います。これが何回手渡されるかは誰にもわかりません。残念ながら、私はチャネル ディーラーと連絡を取ったことはありません。

中国のハッカーが韓国で大きな問題を引き起こしている。韓国は今、当時の台湾よりもさらに神経質になっている。私は韓国のインターネットユーザー4000万人のデータを持っています（2011年の韓国の総人口は5051万5000人でした）。彼らは実名制を採用しています。

ハッカーサークルエコシステム

私は大学に進学してからハッカーサークルと関わりを持つようになりました。私は、シンプルなツールを使ってあらゆる場所を攻撃する初心者ハッカーにたくさん出会いました。彼らを研究するうちに、ハッキング技術にも興味を持つようになりました。私は「大したことない」と思っていました。その後、楽しみのため、そして脅すために、自分でツールをダウンロードしたり、トロイの木馬をインストールしたりし始めました。さらに研究を進めるうちに、私は徐々にいくつかのスキャナーや侵入ツールに触れるようになり、関連する原理についても至る所で読みました。大学ではコンピューターと密接な関係のある数学を専攻していたので、1年後には侵入に必要なことはほぼすべて学んでいました。当時、私はサークルの一員とみなされ、毎日少人数のグループでテクノロジーについて話し合っていました。

その後、Lone Swordsmanという男が「Hacker Base」というウェブサイトを開設しました。私はそのチャットルームに講師として行き、他の人にVIPトレーニングをしたり、侵入について話したりしました。週に1回授業を受け、1回の授業につき200元を支払われました。当時は法律的な概念が全くなく、授業のたびに他の人のウェブサイトを実験として使っていました。例えば、この授業でこの脆弱性について話したい場合、要件を満たすウェブサイトを探し、まず脆弱性を保存し、講義中にその場で侵入してステップごとに説明し、ツールが配布された後に再度手順を説明します。当時、多くのウェブサイトに被害が及びましたが、私の記憶では、NetEase の支社もその被害に遭いました。

しかし、実際には、侵入には、この場所に弱いパスワードがあるかどうか、検証があるかどうかなどを素早く判断するなど、さまざまな状況に対する経験と柔軟な対応が求められます。簡単に言えば、技術的な手段を毎日学べば、2、3 か月で十分です。今では、洗練された攻撃者はそれほど疲れません。彼らはソーシャル エンジニアリングの手法を使用します。たとえば、あなたとチャットすることで、会社の部署構成を知ることができます。座席が部署ごとに配置されている場合、ネットワーク構造を推測でき、攻撃はより正確になります。たとえば、トロイの木馬をインストールすることで、上司のメール アドレスのアカウントとパスワードを入手できます。このメール アドレスを使用して、同僚にメールを送り、ネットワーク管理者のアカウントとパスワードを尋ねます。基本的に、すべての従業員が罠に陥ります。もちろん、熟練した攻撃者は、より複雑な問題を解決することができます。

抜け穴を見つける人たちこそ、システムに直接立ち向かう人たちなので、私は彼らを最も尊敬しています。これはとてもとても退屈な仕事で、見ていると吐き気がします。サークル内の有名なディガーは3ヶ月間外出せず、インスタントラーメンだけを食べていた。つまり、脆弱性を見つけるのが得意な人は、時間がないためにハッキングが得意ではないのです。

ハッカーの輪は実際には人脈に依存しています。プログラマーは侵入ツールを作成する前に脆弱性を入手する必要があるからです。幅広い人脈があれば、人々は喜んであなたに脆弱性を提供したり、あなたと脆弱性を交換したりしてくれるでしょう。サークルでは、未公開の脆弱性を0DAYと呼んでいます。このWebサイトに0DAY脆弱性があった場合、1秒で修正できる可能性があります。 0DAY脆弱性1つは通常の脆弱性50個と交換でき、市場価格は数十万元になることもあります。女性ハッカーの中には、0DAY脆弱性を騙し取るために他人と寝ることもいとわない人もいるため、サークルの人たちは私たちのサークルを「娯楽サークル」とも呼んでいます。

私は「ハッカーベース」で半年間教えましたが、他の人に教える前にまず何かを学ばなければならなかったので、スキルは急速に向上しました。教える過程で、以前は気にしていなかったいくつかのことを学び、徐々にその界隈で有名になりました。大学最後の年に、お金を稼ぎたいと思っていたところ、ある人から、全国規模のウェブサイトにトロイの木馬をインストールするよう指示を受けました。彼は私に「封筒」（口座番号とパスワードを合わせたものを封筒と呼ぶ）を1封筒につき1ドル請求し、私は1週間に約700～800元を稼いだ。その後、これらのアカウントのパスワードを使用して「Legend」に入り、アカウントを盗みました。

@爱极客: #速報# [今年はプログラマーに優しくしてください、YTO ExpressやSinaなどのウェブサイトがハッキングされました] QQグループの報道によると、YTO ExpressとSina Educationはハッキングされましたが、Heimaはまだアクセス可能で、「ただ楽しむため」という言葉が残されていました。実際にこう返信した人もいました。「状況は緊迫しています。目立たないようにできないのですか?」

2004年、河南省、安徽省、広東省、遼寧省から計9人を集めてスタジオを作りました。100平方メートルの家を借りて二段ベッドを設置しました。妻のいる2人が2部屋に住み、残りの5人が1部屋に住んでいました。私たちはウェブサイトを個別に攻撃し、盗んだアカウントとパスワードを使ってオンラインゲームのアカウントを盗みました。単純な脆弱性は見つけられるが、システムの脆弱性は見つけられない人もいます。プログラムを書ける人は多くないので、侵入ツールは自分で作るよりも安定しているので、購入するほうがいいでしょう。物流を担当する女性を特別に任命しました。

2005年頃、私はもうこれをやりたくありませんでした。実際、サークル内では密かにやっている人が多かったのですが、他の人に軽蔑されたり、私たちの精神を汚していると聞かれるのが怖くて、大声で言うのが恥ずかしかったのです。当時はまだ、何かを持っているなら公開して共有しなければならないと皆が信じていて、みんなでサイトに侵入して一緒に遊んでいました。実際、私もとても葛藤していました。技術者がこれでどうやってお金を稼げるのだろう？でも、後になって何百万ドルも稼いでいる人がいることを知ったので、戻ってこっそりやってみようと思ったのです。

2006 年は国内外を問わずハッカー業界が最も攻撃的だった年でした。韓国、ブラジル、ベトナムのオンライン ゲーム市場はすべて中国のハッカーによってハッキングされました。私もマレーシアの市場にハッキングしたことを覚えています。その後、国内のオンラインゲーム会社のスタッフから、マレーシア市場の運営があまりうまくいっていない、ある月に大量のアカウントがハッキングされるなど困っていると聞き、あなたに言わなくてよかったと思いました。マレーシアの代理店のボスが私に電話をかけてきて、「毎月決まった金額を支払っているので、これ以上手を出すのはやめてください。もう商売にならないんです」と言いました。当時は、この分野は法律でカバーされていなかったので、私を逮捕することはできませんでした。

私はこの仕事に断続的に携わっています。例えば、今月50万元稼いだら、遊びに行って、全部使い果たしたらまた仕事に戻ります。全労働時間で計算すると、3、4か月しか働いていないのに、合計で200万元くらい稼いでいることになります。こういったお金はすぐに使われてしまいます。マウスをクリックするだけで手に入るお金は大切にしません。私と彼女は出かけるときはいつも五つ星ホテルに泊まります。時々面倒で、州を越えてタクシーに乗ることもよくあります。

その後、彼女は「私たちは結婚するんだから、人を傷つけるようなことはやめたほうがいい」と言ってきたので、私は完全にやめました。

信仰はなく、狂気だけ

中国にハッカーが現れて以来、私はいくつかのウェブサイトのユーザーアカウントとパスワードのライブラリに触れるようになりました。彼らはパスワードをプレーンテキストで保存しており、それは本当に愚かな行為でした。しかし、私はそれらをランダムに投げ回していました。私は、これらすべてを保存するハードドライブを持っていないと考え、SinaとTianyaのものを直接削除しました。当時は、これらのものもお金に換えられる可能性があることに気付く先見性がありませんでした。

中国の闇市場では、一部の人間が極度に狂っています。道徳心があり、信頼できる人はほとんどいません。明示的、暗黙的を問わず、いかなるルールも信じる人はいません。なぜ中国にはウィキリークスがないのか？それは、誰もが信仰心がなく、教育水準が低いからだ。多くの人が世界観や価値観を失っている。一見自由だが不完全な法律があるオンラインの世界に遭遇すると、この輪がどうなるかは想像がつく。

私が闇市場で働いていたとき、私はよく何人かの人と議論しました。「ああ、なんて堕落したことを私たちはやっているんだ！」でも、若者は善悪についてそれほど多くの考えを持っていません。私たちはオンラインゲームのアカウントを盗んだ後でさえ、こうして自分たちを慰めていました。「私はまたインターネット中毒のティーンエイジャーを救った！」

今は理想も信念もありません。以前は、中国のハッカーサークルに居場所を持ちたいという気持ちがありました。何かを共有し、みんなに尊敬される人間だと感じてもらうことで、達成感と満足感を得ていました。しかし、2006 年以降、世界は変わり、実践者の数も増えました。私が今知っている人のほとんどは、2005 年以前に連絡を取っていました。2005 年以降に業界に入った人は一人も知りません。

CSDN は風を引き寄せる大きな木であり、当時は誰もがそのデータベースのコピーを持っていました。今年の初め、将来、自分の過去も素晴らしかったことを証明する本を書けるかもしれないと思い、自分がアクセスできるさまざまなデータベースを意図的に収集し始めました。当時、誰かがこれらのライブラリを50万元で私から取り置きしたいと言っていましたが、私は売らないと言いました。あなたが何をしたいのかは分かっていました。それはただプログラムを書いて、オンラインゲームを見つけてアカウントを一つずつ盗むことだったのです。したがって、この大規模なアカウントとパスワードの漏洩は、オンライン ゲーム アカウント盗難の流行の新たなラウンドの到来も意味します。

有名人のメールアドレスやウェブサイトをチェックしたり、王力宏のICQチャット記録をグループに投稿したりしていた頃が今でも懐かしいです。他の人が知らない情報を知るのはとても幸せなことでした。

原題: ハッカーの儲かるビジネス: 信仰なし、あるのは狂気だけ!

キーワード: ハッカー、ウェブサイトの情報セキュリティ、プライバシー漏洩、Ctrip の脆弱性