「Hacking for Profit. Working method(利益を得るためのハッキング:実践的な手法)」と題されたフォーラムスレッドは、アンダーグラウンドのコミュニティが脆弱性悪用やハッキング技術に関する情報をチュートリアル形式で共有している実態を、垣間見ることのできる貴重な事例です。
「Hercules」というハンドルネームを持つ人物が投稿したこのポストは、特に長文でも技術的に高度なものでもありません。その価値は、複雑なプロセスを明確かつ実行可能なステップに落とし込んでいる点にあります。具体的には、脆弱性のスキャン・検出・評価・悪用・収益化の方法が解説されており、さらに脆弱性開示プログラムの意義についての考察も含まれています。
Flareの研究者たちは、このオリジナル投稿と数か月にわたる返信を分析しました。スレッドへの反応を見ると、その影響がオリジナル投稿にとどまらなかったことは明らかです。複数のユーザーが「Hercules」に感謝を述べ、プライベートでの連絡を求め、自らを初心者と称した上で、理論的な学習から実践的なハッキングへの移行についてアドバイスを求めていました。こうした反響は、「Hercules」が単に手法を説明したにとどまらないことを示しています。
この投稿は非常に人気を集め、同じ手法が他の4つのフォーラムでも転載・議論されました。この脅威アクターは、初心者に対して脆弱性悪用と収益化を理解するためのシンプルなフレームワークを提供しています。
チュートリアルの内容
「Hercules」は、発見した脆弱性を収益化する方法を解説しています。まず、新たに開示された脆弱性——特にリモートコード実行、認証バイパス、アカウント乗っ取り、IDOR、データ漏洩といった影響度の高い脆弱性——を探す方法について説明しています。次に、公開されているシステムを特定し、そのシステムが脆弱である可能性を検証した上で、結果を報告するか、売却するか、悪用するかを判断するプロセスへと話を進めています。
このチュートリアルには、特筆すべき点が3つあります。
-
攻撃的セキュリティの実践者の間で非常に人気の高い、projectdiscovery.ioによるNucleiフレームワークの活用。
-
新たに発見された脆弱性のパッチ適用において防御側が直面する課題への理解。この点については、Yakir KadkodaとIlay Goldmanによる「50 shades of vulnerabilities: Uncovering Flaws in Open-Source Vulnerability Disclosure」という教育的なブログ記事でも詳しく取り上げられています。
-
チュートリアルが「合法」と「違法」のパートに分かれており、読者が任意の段階で立ち止まり、脆弱性開示からハッキングへ進むかどうかを選択できる構成になっている点。
脅威アクターと同じ視点を持つ
アンダーグラウンドのフォーラムでは、初心者ハッカーに対して脆弱性のスキャン・悪用・収益化の方法が積極的に教えられています。
Flareは、こうしたチュートリアルが拡散するフォーラムを含む何千ものダークウェブソースを監視しており、攻撃者が行動に移す前にチームが露出を検知できるよう支援しています。
アクセスのしやすさが最大の訴求ポイント
このチュートリアルで最も効果的な要素は、技術的なトリックではありません。それは「語り口」です。「Hercules」は平易な言葉で書き、このプロセスを実践を通じて習得できるものとして提示しています。また、多くのチュートリアルがコンピュータサイエンス、オペレーティングシステム、プログラミング、スキャナのパラメータに重点を置きすぎている一方で、初心者が求めているのは「ハックする」「侵入する」「アクセスを得る」ことだと主張しています。
さらに、高度なソフトウェアエンジニアでなくても始められると示唆しています。公開ツール、コミュニティのテンプレート、自動化、さらにはAIアシスタンスさえも、参入障壁を下げる手段として紹介されており、プログラミングスキルは「あれば便利だが必須ではない」と述べられています。根底にあるメッセージはシンプルです。「技術的なギャップは、初心者が思っているほど大きくない」ということです。
このメッセージが、フォーラムでの反響の多くを説明しています。あるユーザーは多くのハッキングコースを修了したにもかかわらず、現実の場面で活かせないと述べていました。別のユーザーはプログラミングすらできないとして、それが問題になるかどうかを尋ねていました。
また、「Hercules」にプライベートでの連絡を求めたり、指導を受けたいと申し出たり、投稿が明快でよく構成されていると称賛したりするユーザーも多く見られました。
収益化の仕組み
この手法で最も注目すべき点は、収益化のロジックです。「Hercules」は、脆弱性を発見した後に「生徒」が取れるいくつかのアクションを説明しています。
-
サーバーやWebサイトのオーナー、またはホスティング会社に連絡し、脆弱性情報と引き換えに報酬を要求する。Herculesは「対価を払ってくれる人もいる」と述べ、「……お金を受け取って、自分を誇りに思っていい」とも言っています。
-
発見した情報をアンダーグラウンドマーケットで売却する。「Hercules」は、被害者に連絡しながら同時に別の場所でその情報を売ることも提案しています。
-
脆弱性を悪用してサーバー上のデータを調査する。
リモートコード実行の脆弱性は、ボットネット運営者へのアクセス販売、不正なリソース悪用、データ窃取に転用される可能性があります。アカウント乗っ取り、IDOR、データ漏洩の脆弱性は、すぐに売却できる「資産」として位置づけられています。
「Hercules」は自らを詐欺師ではなくハッカーと称しており、下流の不正行為を行うよりも迅速に売却することを好むと述べています。
フォーラムの反応——実践的なメンタリングへの需要
返信を見ると、この投稿が単なる情報提供にとどまらず、経験と自信を与えてくれるものとして共感を呼んだことがわかります。ユーザーたちは繰り返しプライベートでの連絡、メンタリング、追加の指導を求めていました。フォーラムの制限でプライベートメッセージを送れないと述べるユーザーもいました。
また、このポストを良い出発点として評価し、続きの内容を待ち望むユーザーもいました。以下はスレッドの返信の一部です。
この長期にわたるエンゲージメントは重要な意味を持ちます。高度なエクスプロイトの解説は技術系の読者を引きつけるかもしれませんが、シンプルでモチベーションを高めるワークフローはより広い層を取り込むことができます。
特定の脆弱性に依存しないため、このコンテンツは数か月にわたって有効であり続けます。「新たな脆弱性を監視し、公開されたシステムを見つけ、検証し、収益化して、繰り返す」という再利用可能な考え方を教えているからです。
脅威インテリジェンスの観点から見ると、このスレッドはユニークな指標がなくても価値があります。新参者がどのように考えるよう教育されているか、どの脆弱性クラスを優先するよう促されているか、そして経験豊富なフォーラムメンバーが好奇心をいかにして参加へと転換させているかを明らかにしているからです。
さらにこの投稿は、「Hercules」がユーザーにプライベートでの連絡を繰り返し促していることから、ソフトな採用チャネルとしての機能も果たしています。
防御側にとっての意味
このチュートリアルは、脆弱性管理プログラムにおける3つの側面を浮き彫りにしています。
-
重大かつ到達可能な脆弱性は格好の標的となっています。これはアンダーグラウンドの投稿を見なくても明らかです。新たな脆弱性が開示され、PoC(概念実証コード)が公開されてから数分以内にアップデートされる自動化されたボットネットが多数存在します。しかし今日では、初心者のハッカーでさえ、これらが高価値なターゲットであると教育されているのです。
-
古い脆弱性のロングテールも依然として重要です。2019年の脆弱性を抱えた古いDrupalやWordPressのサイト、レガシーサーバーも、初心者ハッカーに狙われます。
-
有償の脆弱性開示プログラムは重要な意味を持ちます。報酬が得られるとわかれば、脆弱性を開示するモチベーションが高まります。たとえダークウェブで売却されたとしても、一度開示されればリスクを軽減できる可能性があります。
「Hercules」を超えた問題
このスレッドが重要なのは、新しいハッキング技術を紹介しているからではありません。サイバー犯罪が「単純化」によってどのように拡大するかを示しているからです。「Hercules」は複雑なトピックを、初心者でも理解できる実践的なビジネスワークフローへと変換しています。
返信が示すように、このアプローチは機能しています。不確かで経験がなく、理論に行き詰まっていたユーザーたちが、関心を持って反応しています。
サイバー犯罪者の能力は、高度なマルウェア開発やゼロデイ悪用によってのみ成長するわけではありません。アクセスしやすいチュートリアル、メンタリング、公開ツール、そして違法行為を「実現可能なもの」に感じさせるコミュニティによっても成長しているのです。
