はじめに

こんにちは、NTTドコモビジネスの現場受け入れ型インターンシップで「脅威インテリジェンスを生成・活用するセキュリティエンジニア/アナリスト」として参加させていただきました、大学院1年生の脇本です。

このたびインターンシップを通してさまざまな経験をさせていただきましたので、その中でも特に印象的であった「Telegramチャンネルおよびグループの調査・分析」という内容を本記事で紹介させていただきたいと思います。

• はじめに
• 参加したチーム
• インターンシップ参加経緯
• インターンシップ概要
• Telegramを使った犯罪者コミュニティの調査/分析
  • 前提
  • そもそも、Telegramとは?
  • 調査/分析したTelegramチャンネル、グループの概要
  • 調査/分析結果
  • 調査/分析過程
    • 1. グループ名やグループの投稿で頻繁に目にする単語の調査/分析
    • 2. 販売されているクレジットカード情報入手手口の調査/分析
    • 3. 他の投稿に関する調査
    • 4. グループの概要欄についての分析
    • 5. グループ内でのAの立場に関する調査/分析
    • 6. Aの行っている"ビジネス"に関する調査/分析
• インターンシップを通して学んだこと・感じたこと
• おわりに

参加したチーム

私がインターンシップ中に参加させていただいたのは「Network Analytics for Security(通称:NA4Sec)」と呼ばれるプロジェクトチームでした。「NTTはインターネットを安心、安全にする社会的責務がある」を理念に攻撃インフラの解明や撲滅に向けて活動しているチームです。

過去には「Botconf 2025」というフランスのセキュリティカンファレンスなどでも登壇されている、すごいチームです。¹

インターンシップ参加経緯

私は大学でセキュリティを専攻するよりも前から世界史、その中でも欧州史に強い興味を持っていました。とはいえ特に興味のある時代は現代とは少し遠い(中世盛紀/後期)のですが、歴史とは連続性を持っておりますので他の時代についても興味があり、その延長として現代の世界情勢にも関心がありました。そのため以前から、世界情勢と直結しているともいえる脅威インテリジェンス分野には非常に強く惹かれていました。

そして去年、インターンシップを経験された方からNTTドコモビジネスのインターンシップをご紹介いただき、過去のインターンシップ体験記なども見て、参加を希望しました。

インターンシップ概要

インターンシップは2週間かけておこなわれ、1週目と2週目では異なる活動に取り組みました。

1週目:

• Cobalt Strike の調査/分析・ハンズオン²
• フィッシングサイトに関する調査/分析・ハンズオン³

2週目:

• Telegram を使った犯罪者コミュニティの調査/分析

本記事では1週目の内容を割愛し、2週目に行った[Telegram を使った犯罪者コミュニティの調査/分析]フェーズのうち特に印象的であったグループに関するものについて紹介させていただきます。

Telegramを使った犯罪者コミュニティの調査/分析

前提

今回のインターンシップでは、

• Telegram上で活動している犯罪者とは交流しない

との前提の下で調査および分析に取り組みました。

そもそも、Telegramとは?

本記事を見ている方の中には、そもそもTelegramという単語に聞き覚えのない方や、ニュースなどで耳にしてなんとなく怖いツールというイメージを抱いている方もいらっしゃると思います。

TelegramとはLINEやWhatsApp、Messengerなどと同様の機能を提供するメッセンジャーアプリです。そのためTelegram自体に問題があるわけではありません。

ただし以下に挙げるような特徴を有していることから、サイバー攻撃者や詐欺師等の犯罪者による悪用が確認されているのが実情です。

• シークレットチャットと呼ばれる機能を使用することで利用者間通信が高い機密性と秘匿性を有する
• 無料で利用可能

またTelegramには個人間チャットのほかにグループチャットやチャンネルと呼ばれる機能があります。

グループチャットは最大20万人が加入できるチャット機能で、メッセージやメンバーを外部から閲覧可能なパブリックグループと、外部からは秘匿されたプライベートグループの2種類が存在します。

チャンネルは作成者と管理者のみが一方的にコンテンツを投稿できる機能で、他のユーザはフォローまたはフォロー解除ができます。こちらもグループと同様にパブリックチャンネルとプライベートチャンネルが存在します。

今回のインターンシップでは主に、パブリックグループやパブリックチャンネルについて調査/分析しました。

調査/分析したTelegramチャンネル、グループの概要

今回のインターンシップで調査/分析したTelegramチャンネルやグループは以下の3つです。

• 窃取された認証情報を販売しているチャンネル
• 犯罪系の雑談グループ
• 何らかの犯罪に関連するグループ

「何らかの犯罪に関連するグループ」について情報が曖昧なのは、私がこのグループの調査/分析を開始した際にメンターの方から渡していただいた情報がこのくらいの粒度であったためです。今後本記事ではこのグループに関する調査/分析の結果や過程について掘り下げていきます。

調査/分析結果

グループの調査/分析過程を紹介するより先に、調査/分析によって判明した結論を示します。

• グループでは特定の言語が使用されている
• グループはクレジットカード情報を窃取している人たちが交流するためのもの
• 販売されているクレジットカード情報の一部はフィッシングによって窃取されたもの
• グループ参加者の中には他の犯罪を行っている人もいる
• グループの作成者、またはそれに準ずるグループの中核を担う人物(以下Aと呼称)が存在する
• Aはクレジットカード情報に関する独自の犯罪ビジネスを複数展開している

調査/分析過程

調査開始時に「何らかの犯罪に関連するグループチャット」のリンクを渡され、自由に調査/分析しました。

行った分析の多くは、投稿に使用されている隠語との戦いでした。グループ内では主に日本語以外の特定言語でやり取りが行われていたため、隠語の調査には骨が折れました。

調査/分析の過程は以下の通りです。

1. グループ名やグループの投稿で頻繁に目にする単語の調査/分析

初めに目を付けたのは、グループ名の一部で使用されており、さまざまな人の投稿でも頻出していたとある単語です。調査の結果、この語はクレジットカード情報を指す隠語であることが分かりました。また投稿内容の一部には販売を示唆するものもあり、はじめクレジットカード情報の販売が行われているグループではないかと推測しました。

2. 販売されているクレジットカード情報入手手口の調査/分析

クレジットカード情報の販売を示唆する投稿をより詳しく調査したところ、フィッシングを意味する隠語がいくつも確認されました。そのため、販売されているクレジットカード情報はフィッシングによって入手されたものだと分析しました。なお投稿について日本のクレジットカード情報販売を示唆するようなものも複数見つかりました。

3. 他の投稿に関する調査

グループに投稿されている他の投稿について調査したところ、クレジットカード情報の販売以外に関する投稿も複数確認されました。中には高収入を謳う謎の仕事の募集や、暗号通貨等の投資への誘導、メールアドレスやパスワードに関するファイル名を冠した謎のツールを配布しているものもありました。

この点や、グループ名に何かの交流を意味するような語が使用されていた点などから、このグループはただのクレジットカード情報販売グループではなく、クレジットカード情報に関する犯罪者たちの交流場としての役割を果たしていると分析しました。

4. グループの概要欄についての分析

次にグループの概要欄を確認したところ、概要欄には2種類の非常に類似したURLが貼り付けられていました。

URLの片方はグループのリンクで、もう片方はとあるユーザAが運営しているチャンネルのリンクでした。

そこで私はグループに関する調査/分析を終了し、「A」と「Aのチャンネル」の調査/分析を始めました。

5. グループ内でのAの立場に関する調査/分析

Aのチャンネルに関する調査から、グループとAには以下の類似性が確認できました。

• AのチャンネルのURLとグループのURLが酷似している
• Aの名前の一部がグループ名の一部と重複している
• グループ内でのAの投稿の一部がピン止めされており、他の人物の投稿は1つもピン止めされていない
• Aのチャンネルは過去に名称を変更しており、変更前に使用されていた名称の一部がグループの説明にも使用されている

以上の点から、Aはグループの設立者か、そうでなくともグループの中核を担っている人物と分析しました。

6. Aの行っている"ビジネス"に関する調査/分析

Aはチャンネル上でいくつかのユーザをメンションしており、それらのユーザの一部はユーザ情報の概要欄にてAを紹介していました。それらの情報と、グループの概要欄にて示されていたAの紹介文、Aのチャンネル名などを総合的に評価した結果、Aはクレジットカード情報を使った複数の犯罪ビジネスを展開していると分析しました。

なお分析に使用したユーザ、グループ、チャンネルの概要欄や名前には隠語が多く使用されていたため、このフェーズが最も大変でした。

インターンシップを通して学んだこと・感じたこと

今回のインターンシップでいくつかのTelegramチャンネルを調査/分析させていただき、犯罪者のエコシステムについて大きく3つを学びました。

• 犯罪者たちは調査を逃れるため、隠語を多用する
  • そのため本格的に調査/分析する場合は隠語の知識が必須となる
  • 1つの単語に対していくつもの隠語があるケースもある
  • 隠語の理解には犯罪と関連するもの(e.g.クレジットカード)についての深い知識が必要となることもある
• 認証情報やクレジットカード情報に関する犯罪のマネタイズにはさまざまな手法がある
  • 最近ではサブスク形式のマネタイズが多く見られ、サブスクの波が犯罪者界隈にも到来していると感じた
• 犯罪者コミュニティでの支払い手段は取引の匿名性のほかに、価値の変動の小ささや取引手数料などが重視されている

また調査中に「販売されている情報を入手できれば被害者に被害を通知できるのに」という気持ちと、「犯罪者に金銭を提供してはいけない」という気持ちが芽生えたことで倫理面での葛藤を覚え、実際のセキュリティ現場でのジレンマのようなものを感じられたような気がします。

おわりに

実は私は、これまでもセキュリティニュースなどを見てTelegramチャンネルやグループの分析をやってみたいと思ったことが何回もありました。 しかし毎回調査時にミスしてしまったときのリスクを考えてしまって二の足を踏み、後回しにしてしまっていました。 そのため今回のインターンシップで実際にTelegramチャンネルやグループの調査/分析をさせていただけた経験は、非常に有意義なものになったと感じています。 今後は恐れず、ただしリスクも十分に考えて、しっかりとした倫理観も保ちつつこのような分野の調査/分析をしていきたいと思います。

また本記事で紹介したTelegramチャンネルの分析以外の体験でも、非常に興味深く面白い経験をさせていただいたと感じています。 特にCobalt Strikeに関する経験はなかなか他でできないもので、最近あまり手を動かして技術に触れられていなかったこともあり、とても楽しく過ごさせていただきました。

さらにインターンシップ中いくつかのイベントにも参加させていただき、NA4Secチームやほかのチーム、ほかのインターン生といった多くの方々と交流できました。 そこで得られた価値観やセキュリティに対する姿勢は私にとって強い刺激となり、今後見習いたいと感じました。 インターンシップの間、私に関わってくださった皆さま、本当にありがとうございました。 特に神田さん、益本さんにつきましては、2週間ずっとお世話になりっぱなしでした。 改めてありがとうございました。