「トラフィックハイジャック」の謎を解明丨5万IPトラフィックをハイジャックして、毎月最低3万稼ぐ！

明らかにウェブサイト A を開いたのに、理由は不明ですがウェブサイト B にリダイレクトされました。明らかにソフトウェア A をダウンロードしたかったのですが、ダウンロードしてインストールしたらソフトウェア B であることが判明しました。アプリを開いたときにポップアップ広告が非常にわかりにくく、迷惑でした... お使いのコンピューターまたは携帯電話がウイルスに感染していると思われますか?間違っている！おそらく、インターネット トラフィックがハイジャックされた可能性があるため、本当にウイルスのせいにしたのでしょう。

インターネットの世界では、トラフィックハイジャックは目新しいものではありません。いわゆるトラフィック ハイジャックとは、特定の技術的手段を使用してユーザーのオンライン行動を制御し、ユーザーが開きたくない Web ページを開いたり、見たくない広告を表示したりすることで、ハイジャック犯に安定した収入をもたらすことを指します。

トラフィックハイジャックは古くから存在していましたが、「ユーザーが羊」という環境では、常に「根絶不可能」でした。トラフィックをハイジャックしているのは誰ですか?交通ハイジャックの背後にある「悪魔の手」とはどのようなものでしょうか? IT Times の記者による調査で、インターネットの世界では、トラフィック ハイジャックの背後に巨大なグレー産業チェーンが存在することが判明しました。DNS ハイジャックだけでも、毎日少なくとも数千万の IP アドレスが悪意を持ってハイジャックされています。

Xiaomi StoreをダウンロードするとUCブラウザに変わります

少し前に、Wuyun.com が「オペレーターのトラフィックに基づく APK ハイジャックおよびプロモーション システムに脆弱性の疑いあり (1 日あたり最大数百万のハイジャック データ統計)」と題する発表を行い、再び「トラフィック ハイジャック」が注目を集めました。

この事件は、Wuyun.comのホワイトハット「通行人A」の友人がXiaomi Storeアプリケーションをダウンロードする際に当惑したことから始まりました。携帯電話でもPCでも、ローカルにダウンロードするとUCブラウザになります。その後、「通行人A」はパケットキャプチャテストを実施し、テスト中に秘密の管理システムを発見しました。

Wuyun.comが記者に提供した脆弱性情報では、「通行人A」がトラフィックハイジャックの背後にある黒い手を発見したプロセスが詳細に説明されている。まず、パケットキャプチャテスト中にUCブラウザのダウンロードリンクが発見された。ユーザーが地元の通信事業者のブロードバンドを使用してリクエストすると、返されたリンクが改ざんされていた。

「通行人A」は手がかりを追って「設置・配布プラットフォーム」を掘り出し、バックグラウンドデータベースで毎日膨大な量のデータがシステムからハイジャックされていることを発見した。1日のハイジャック件数は最高で151万件に達し、準二級都市の規模に過ぎない。

「簡単に言うと、ダウンロード時のアドレスはaで、ダウンロードリンクはアドレスbになります。アドレスbの末尾には暗号化パラメータがあり、復号化後はアドレスaになりますが、ダウンロードされるのは依然としてアドレスbのコンテンツです」とWuyun.comのセキュリティ専門家はIT Timesの記者に説明した。このタイプのハイジャックは非常に一般的であり、最後にある暗号化されたパラメータがさらに混乱を招きます。「ハイジャック犯の観点からすると、ユーザーがダウンロードしたアプリがアドレス a からハイジャックされたことを示すためでもあります。そうすれば、アドレス a のハイジャックによってどれだけのトラフィックがもたらされたかを簡単に計算できます。」

「トラフィックハイジャックとは、オンライントラフィックの盗難、スパイ、制御を指します。ユーザーのトラフィックを受信した後、分析してユーザーのプライバシーを盗むこともできます。インターネットを閲覧するために使用するコンピューターはクライアントであり、リクエストのターゲットはサーバーです。リクエストを送信してからWebページを表示するまでの速度は非常に高速ですが、中間のネットワークリンクとデバイスを通過する必要があり、リンク上のポイントとデバイスが改ざんされ、トラフィックが悪意を持って分析され、盗まれる可能性があります。」国内のセキュリティチームKeen TeamのメンバーであるLu Lisheng氏は「IT Times」の記者に語った。

Lu Lisheng 氏の見解では、ネットワーク リンクや機器にアクセスできる人なら誰でもトラフィックをハイジャックできる。ハイジャックの一般的な方法は 2 つある。1 つは DNS ハイジャックで、ユーザーがドメイン名を入力すると、ハッカーが指定した IP アドレスにリダイレクトされる。もう 1 つはリンク ハイジャックで、ページが置き換えられたり、多数の広告が挿入されたり、ハッカーが DDOS 攻撃に使用したりする。

ジャーナリストの調査

毎日何千万人ものユーザーがハイジャックされている

トラフィック料金: 1,000 IP

最大販売価格：70元/日

「PCでのバナークリックは1.5セント、パッチクリックは1.2セントと1.8セント、右下隅のリッチメディアは2.2元/1,000インプレッション、カプレットは2.1元/1,000インプレッション、ポップアップは5.5元/1,000インプレッション、モバイルのフローティング広告は2.5元/1,000インプレッションです。」約1,000人の「DNSハイジャックモバイルトラフィック」グループでは、高額なトラフィック購入に関するニュースが毎日更新され、夜遅くまで止まりませんでした。

「我々はここでチャネルを探して、あらゆる種類のトラフィックを集めている」と、トラフィック収集情報を一斉に発信したばかりの孫庭（仮名）氏はIT Timesの記者に対し、グループ内で叫んでいる人のほとんどは「トラフィックを買っている」と語ったが、孫庭氏はトラフィックがどこから来ているのかについては沈黙を守っていた。

トラフィックは貴重です。トラフィックを集める仲介業者またはトラフィック購入者は、持ち込まれたトラフィック（千IP）に基づいて毎日料金を計算します。千IPの市場価格は1日あたり35〜70元で、価格はユーザーの質と量によって変動します。たとえば、ハッカーが毎日 50,000 の IP トラフィックをハイジャックし、90 日間協力した場合、1,000 の IP の価格は 35 元です。この場合、トラフィック購入者はハッカーに 157,500 元 (50,000/1000×90×35)、つまり平均して 1 か月あたり 50,000 元を支払う必要があります。

実際、トラフィックを販売している人は 50,000 を超える IP を所有しています。

こうしたトラフィック収集グループには、ときどき、ハイジャック技術を提供するチームが「様子見」しており、「ハイジャック技術を提供しています。興味のある方はプライベートにチャットしてください」というメッセージがポップアップ表示されることがあります。

紆余曲折を経て、記者はついにトラフィックハイジャック技術サービスを提供する会社と連絡を取ることができた。同社のカスタマーサービスによると、トラフィックのある企業にハイジャックシステムのインストールを手伝うことができるという。「サーバーに CentOS (Community Enterprise) オペレーティングシステムをインストールし、ポートを分割して、サーバーの IP を提供してください」とスタッフは言う。同社の技術者がハイジャックシステムを展開し、基本的に毎日データをフィードバックして収益を確認できるようにします。「オペレーターがソースアドレス検証を行っていても実行できますが、少し複雑です。」

彼らに協力するには、トラフィックをハイジャックできる IP が少なくとも 10 万個必要です。トラフィックのハイジャックによる収益は「30% 対 70% で分けられ、30% が私たちの取り分」です。

トラフィックを販売しているのは誰ですか?

トラフィックを販売しているのは誰ですか?トラフィックを購入しているのは誰でしょうか?このハイジャックされたトラフィックはどのように流れるのでしょうか?インターネットの世界では、巨大な闇産業の連鎖が迫っている。

Lv Lisheng 氏によると、通信事業者、インターネット企業、ルーター製造業者、ハッカーはすべてトラフィックハイジャックの実行者である可能性があり、その目的は広告収入、商業競争 (ウェブサイトのクリック率の向上)、およびユーザー情報の収集に他なりません。

トラフィックハイジャック犯がトラフィックを販売する方法は3つあります。トラフィックを直接買い手のウェブサイトにハイジャックする方法で、業界では「直接協力」と呼ばれています。2つ目は、トラフィックを自分のウェブサイトのドメイン名にハイジャックしてから、買い手のウェブサイトにジャンプする方法です。たとえば、2345.comをqjjxw.comにハイジャックしてから、5w.comにジャンプします。業界では「ジャンプ協力」と呼ばれています。最後の方法は、トラフィックを自分のウェブサイトのドメイン名にハイジャックしますが、買い手のウェブサイトにジャンプせず、買い手のウェブサイトのコンテンツを完全に引用します。買い手も利益を得ることができます。業界では「フレームワーク協力」と呼ばれています。

「ハイジャック犯は利益を最大化するため、通常、直接的な協力関係を結びたがりません。彼らは主にジャンプ協力やフレームワーク協力を採用しています。より高い入札があれば、ハイジャックされたトラフィックはすぐに転送されます。」と前述のセキュリティ業界関係者は記者に語った。

トラフィック収集仲介業者はトラフィックハイジャック業者からトラフィックを購入し、トラフィック購入者はトラフィック収集仲介業者からトラフィックを購入する。「毎日何百万ものIPの膨大なトラフィックを簡単に制御できる大規模なトラフィック仲介業者がいくつかある。彼らが運営する会社の業務は表面上は正常に見えるが、密かにトラフィックハイジャックやジャンク広告ビジネスを行っている」と、業界チェーンに詳しい業界関係者がIT Timesの記者に明かした。

トラフィックハイジャックとの戦い

成功には時間がかかる

2015年12月25日、今日頭条、美団点評、360、テンセント、微博、小米科技を含む6つのインターネット企業は共同で「トラフィックハイジャックおよびその他の違法行為の阻止に関する6社共同声明」を発表し、関係事業者に対し、トラフィックハイジャックを厳しく取り締まり、インターネット企業がトラフィックハイジャックされることで生じる可能性のある深刻な結果に注意するよう呼びかけた。

この公開書簡は、通信事業者を極めて受動的な立場に置きます。

「基本ネットワークのサービスプロバイダーとして、通信事業者がトラフィックの乗っ取りを取り締まり、防止したいと思っても、ハッカーはルーターなどを通じてトラフィックを乗っ取り、それを販売することができる」と通信事業者の内部関係者は語った。

記者の理解によれば、通信事業者は違法なトラフィックハイジャックに対する適切な予防措置を講じているが、ハイジャックシステムは依然としてさまざまな手段を通じて侵入している。一般的な DNS サーバーハイジャックを例に挙げると、通信事業者は省レベルの DNS サーバーと市・郡レベルの DNS サーバーを所有しており、各レベルのサーバーにはそれぞれ管轄区域の規模が異なります。地方の DNS サーバーはセキュリティ レベルが高く、管理がより標準化されており、悪意のあるハイジャックが少なくなっています。市レベルおよび郡レベルの DNS サーバーでは、ユーザー アクセスの悪意あるハイジャックの事例が比較的多く発生しています。

「インターネットの世界では、トラフィックはお金と同義です。一部の企業が通常のチャネルで十分なトラフィックを獲得できない場合、トラフィックを購入することが第一の選択肢になります。」匿名を希望する別のインターネット関係者は記者団に語った。

「この利権チェーンは、トラフィックハイジャックとブラックプロダクションの温床となっている」と、2345の社長補佐である羅慧氏はITタイムズの記者に語った。 2015年11月、上海浦東新区人民法院は中国初のトラフィックハイジャックの刑事事件について判決を下し、ハイジャックした2345のウェブサイトトラフィックを販売したとして被告2名に有罪判決を下した。しかし、トラフィックのハイジャックは今日まで止まっていない。羅慧氏は、2345 URLナビゲーション全体のトラフィックのハイジャックにより、同社に毎月300万～400万元の損失が生じていると明らかにした。

自社の利益が損なわれると、インターネット企業はトラフィックハイジャックに対抗する取り組みを強化し始めます。羅慧氏によると、2345は、ビジネスハイジャック防止監視システム、ページハイジャック防止技術、プロモーションプラットフォーム不正防止システムを含む包括的なハイジャック防止システムを形成しており、技術同盟を構築して共同研究を強化し、ネットワークセキュリティに強力な技術サポートを提供している。

「トラフィックハイジャックの規制は難しい。技術的な観点から、規制当局はそれをどのように規制し、防止すればよいのか分かっておらず、規制の取り組みも十分ではない。通信事業者ともっとコミュニケーションを取り、個人的な利益のために通信DNSサーバーをハイジャックするのを防ぐべきだ」と、前述の人物は語った。

ジャーナリストのメモ

手を伸ばさないでください。捕まってしまいます

広大なインターネットの世界では、すぐにお金を稼ぎたいと願う人が常に不足しています。需要があれば、それを満たすのを手伝ってくれる人がいます。しかし、法律はトラフィックのハイジャックを容認しません。刑法第286条は、「国家規定に違反し、コンピュータ情報システムに保存、処理、伝送されたデータやアプリケーションを削除、変更、追加し、その結果が重大である場合、5年以下の有期懲役または拘留に処する。結果が特に重大である場合、5年以上の有期懲役に処する」と規定している。上記の交通ハイジャック事件では、被告2名に懲役3年と執行猶予3年の判決が下された。

短期的には、莫大な利害関係のため、この「悪魔の手」は消えることはなく、インターネットとユーザーを荒らし続けるでしょう。しかし、天国の網は広大であり、手を伸ばせば捕まることを忘れないでください。