Cisco Talos は、脅威インテリジェンスによって、最新の脅威だけでなく、スパムなどの古い脅威の新たな手口にも対応できるように、継続的に取り組んでいます。このため、サイバー犯罪者が多く集まる場所を頻繁に追跡しています。しかし、驚くべき数の違法なサイバー攻撃者が、不正な秘密の Web アドレスを持つ見えないサーバによって駆け引きをするのではなく、公開されたソーシャル メディアで堂々と活動することを好んでいます。たとえば、Facebook は、多数のグループを抱え、サイバー犯罪者のオンライン マーケットプレイスや交流の場として機能しています。Talos は、こうした Facebook グループが公表しているサービスから送信されたスパムを
、Talos のテレメトリ データで目の当たりにしました。これは、こうしたグループがシスコのお客様に影響を与える可能性があることを示しています。
Cisco Talos は、過去数ヵ月にわたって、複数の Facebook グループを追跡してきましたが、そこでは、怪しげな活動や違法な活動が頻繁に行われていました。こうしたグループの大部分は、「スパム プロフェッショナル」
、「スパマー & ハッカー プロフェッショナル」、「このショップで CVV をお求めください。お支払いは BTC💰💵,で」、「Facebook ハック(フィッシング)」といったグループ名をあからさまに使用しています。一目瞭然の名前にもかかわらず、この中には、最大 8 年間にわたって Facebook に留まり、その過程で数万人のグループ メンバーを獲得したグループもありました。
Talos は、全部で 74 の Facebook グループをリストアップしました。こうしたグループは、数々の疑わしいサイバー ニーズに応えることを約束しています。たとえば、盗まれた銀行またはクレジット カード情報の販売と取引、さまざまなサイトのアカウント クレデンシャルの窃盗と販売、電子メール スパムのツールとサービスなどに対応していました。こうしたグループのメンバーは、合計で約 385,000 人に上ります。
こうした Facebook グループは、Facebook アカウントを持つ人なら誰にでも簡単に見つけられます。「スパム」、「カーディング」、「CVV」などのキーワードを含むグループを検索する
だけで、通常複数の結果が返ります。こうしたグループに参加があれば、Facebook 独自のアルゴリズムによって同様のグループが提示され、新たなサイバー犯罪者のたまり場をますます簡単に見つけられます。Facebook は、こうしたグループによる不正行為の防止を、ユーザの報告に頼っているようです。
Talos は最初に、Facebook にある悪用を報告する機能で、こうしたグループを個別に削除しようとしました。すぐに削除されるグループもありましたが、特定の投稿しか削除されないグループもありました。最終的に、Facebook 社のセキュリティ チームに連絡することで、悪意のあるグループの大部分がすぐに削除されたものの、その後もグループは発生し続けていて、そのいくつかは公開日の時点でアクティブになったままです。Talos は今後も、Facebook 社と協力して可能な限り多くのグループを特定し、削除を進めます。
これは Facebook 社にとって新たな問題ではありません。2018 年 4 月、セキュリティ レポーターの Brian Krebs 氏が、Facebook 社に、多数のグループを通報しました。そこでは、ハッカーが、カーディング(クレジット カード情報の盗難)、通信詐欺、税金の還付金詐欺、分散型サービス妨害(DDoS)攻撃などのさまざまなサービスを日常的に提供していたのです。数ヵ月後に、Krebs 氏が指摘した特定のグループは、完全に無効になっていましたが、Talos は新しいグループを発見しました。こうしたグループの名前の一部は、同じではなくとも、同氏が報告したものに非常によく似ていました。
オンライン犯罪フリー マーケットの内部
こうしたページでの活動の多くは完全に違法です。たとえば、Talos は、ユーザがクレジット カード番号とその CVV を販売しているいくつかの投稿を発見しました。被害者の身分証明の書類や写真が添えられている投稿もありました。
その他の製品やサービスの販促活動も行われていました。たとえば、大規模な電子メール リストへのアクセスを提供しているスパム送信者、多額の送金を支援する犯罪者、政府を含むさまざま組織のシェル アカウントを販売するユーザが確認されました。
また、身分証明書の偽造や編集を行う機能を提供しているユーザもいました。
多くの場合、こうした販売者は、暗号通貨の形式で支払いを求めていました。その他には、情報の売り手と買い手の仲介役となる、いわゆる「仲買人」を使用して、利益の一部を受け取っているユーザもいます。こうしたユーザは通常、取引を完了するために PayPal アカウントの使用を促していました。
こうしたグループからは、ユーザがどれほど成功しているか、合法かは判断できません。グループ メンバーが、他のグループのメンバーに騙されたと投稿して不満を述べていることがよくあります。投稿の際には、ほとんどのグループに独特のエチケットと形式があります。通常、販売者は、引き替えに何を求めるのかを示しています。ほぼすべての取引に、「あなたが最初」(「U_f」、「uf」などと表現されます)と書かれてあり、それは、購入または取引に関心を持つユーザが、先に支払う、またはサービスを提供する必要があることを意味します。他の多くの Facebook グループと同様に、こうした詐欺グループもフォーラムとして存在し、成功しなかったキャンペーンのジョークを共有しています。
精力的に活動する詐欺グループ
ひとつ確かなのは、他のメンバーを騙しているだけのようなグループ メンバーもいますが、精力的に犯罪活動を行っているメンバーもいるということです。それが、Talos のデータに現れています。たとえば、以下は、Talos が監視していた Facebook グループの 1 つに投稿された内容です。スパム送信者が、Apple をテーマにしたフィッシングを Hotmail と Yahoo の受信トレイ フォルダに送り込むと約束しています。親切にも、自身の受信トレイで実際に受信したスパムのスクリーンショットまで投稿しています。
Talos は、それと同じフィッシングの例をテレメトリ データで特定しました。分析用にリカバリした電子メールのサンプルによると、Apple で購入した代金の請求書であるとする PDF ファイルが添付されていました。それには、注文を表示またはキャンセルするリンクが含まれています。
ThreatGrid malware sandbox 内部の分析によると、ユーザが注文の表示またはキャンセルを選択すると、そのリンクによって、最近登録されたドメイン、appleid[.]apple.com.verifysecureinfomanage.info にあるフィッシング Web サイトにリダイレクトされます。フィッシング Web サイトそのものは、「16Shop」を使用して作成されています。これは、Apple ユーザを標的にすることで知られる悪名高いフィッシング キットです。
Cisco Umbrella の調査では、フィッシング ドメインをホストするために使用された IP アドレスが、他の多くの疑わしいドメイン名にも使用されていることが分かっています。こうしたドメイン名は、過去に同様の詐欺に使用された可能性があります。
このデータは、詐欺グループ用の同じツール、技術、サービスを販売する Facebook グループの投稿前に発生した同様の不正行為に関連して、Talos が発見したものですが、唯一の例ではありません。こうした種類のオンライン犯罪の実行について言えば、まさに「有言実行」を示すグループ メンバーもいます。
まとめ
ソーシャル メディアでは、世界中の個人がアイデアを募ったり共有したりするツールを利用できます。これはソーシャル メディアを決定づける特徴のひとつです。しかし、私たちに新しい友人や人脈を提示し、彼らとつながるのに役立つ、基本のコンピュータ アルゴリズムは、良心的な活動と、非倫理的活動や完全に違法な活動を区別できるほどインテリジェントではありません。これまでのところ、Facebook 社は治安の維持を各コミュニティに頼っているようです。しかし当然ですが、犯罪者コミュニティはそれに協力しません。その結果、相当な数のサイバー詐欺グループが急増を続け、違法な活動によって利益を上げています。罰を受けずに活動するこうした攻撃者は、あらゆる場所で企業のサイバー防御を執拗に調査します。これは、彼らにとっていちかばちかの試みです。組織内に築いた足場が最小であっても大きな損害を与えられる可能性があるからです。
こうした攻撃者に対抗するには協力が必要です。ソーシャル メディア プラットフォームでは、手動でも自動でも、悪意のあるグループの特定と排除を目指して絶えず尽力する必要があります。セキュリティ チームとベンダーが連携して、積極的に情報共有しながら行動を起こし、お客様に報告しなければなりません。企業でも、セキュリティ上の保護とサイバー空間の衛生管理に、熱心に取り組む必要があります。さらに、コンシューマもできる限り情報を蓄え、懐疑的になることを求められます。スパムのような攻撃でまずターゲットにされるのは個人なのです。
注:Facebook で悪意のあるグループを発見したら、Facebook の「報告」機能を通じて、そうしたグループをいつでも報告できます。この機能は、グループ ページの上部にある […その他(… More)] のドロップダウン メニューにあります。
本稿は 2019年4月5日に Talos Group のブログに投稿された「Hiding in Plain Sight」の抄訳です。