詐欺師らはいかにしてクレジットカード情報を窃取し、現金化するのか？：実録、知られざる攻撃者の世界（1/2 ページ）

中国のフィッシング詐欺グループは、一体どのようにして検出を回避し、盗んだクレジットカード情報を現金化するのか。リサーチャーのストロベリー・ドーナツ氏がその非常に巧妙な手口を赤裸々に語った。

[高橋睦美，ITmedia]

　日々さまざまなサイバー攻撃が発生して被害が報じられているが、個人が気になるのは情報漏えいだろう。特にクレジットカード情報が盗み取られてしまった場合、その実害は大きい。ではこれは一体どのような手口で盗み取られているのか。

　日本発のサイバーセキュリティ専門家による国際会議「CODE BLUE 2022」（2022年10月27〜28日）のセッション「中国系地下カードショップ環境の理解によるフィッシングマスターへの道」の中で、リサーチャーのストロベリー・ドーナツ（Strawberry Donut）氏がその詳細を赤裸々に語った。

中国のカード詐欺グループの調査グループの一員であるストロベリー・ドーナツ氏

増える日本のクレジットカード詐欺被害　背後には中国の詐欺グループの影が

　日本におけるクレジットカード詐欺の被害額は増加の一途をたどっている。2021年には約330億円にまで達しており、その大半はカード番号の詐欺や窃盗によるものだ。ストロベリー・ドーナツ氏によると、そのうちの多くが中国のカード詐欺グループによるものだ。

　「中国の詐欺グループが日本をターゲットとするのには2つ理由があります」とストロベリー・ドーナツ氏は述べる。1つ目の理由は、3Dセキュア認証がスタティックであり、フィッシングによってパスワードを窃取できること。2つ目は、カード限度額が非常に高いことだ。「この2つの要因によって、日本はカード詐欺を働く犯罪者にとって理想的な市場になっています」（同氏）

　カード情報を窃取する手段としては、フィッシングサイトの構築の他、Webサイトの改ざんによるJavaScriptインジェクション、PCをトロイの木馬（スティーラー）に感染させて情報を窃取するといったものが挙がることが多い。ストロベリー・ドーナツ氏らはこのうちフィッシングサイトによる情報窃取について調査を進めた。

　カード詐欺グループは今や、大規模なエコシステムを構築している。日本をターゲットとしたあるカード詐欺コミュニティーには9万6000人ものユーザーが加わっており、3000人民元分の授業料を「Bitcoin」で支払えば、どのようにフィッシングを展開するかなどを学べるトレーニングを受けられる他、フィッシングサイト作成のためのキットなどさまざまなリソースが提供されるようになっているそうだ。

　「同コミュニティーのリーダーによると、2022年上半期だけで500人以上のアクティブな生徒が在籍していたということです」（ストロベリー・ドーナツ氏）。もちろんリーダーはこのシステムを通して大きな収益を得ており、過去三年で56BTCを受け取っていることが判明している。

知られざる攻撃者の世界　サービス化される追跡回避の手法とは？

　同カード詐欺グループは、初期セットアップに加えて5つのステップで構成される「バリューチェーン」を通してカード情報を窃取している。

カード詐欺グループの「バリューチェーン」（出典：CODE BLUE事務局の提供画像）

　ストロベリー・ドーナツ氏はこのうち、セットアップこそが最も重要な「ステップ0」に当たると話す。同カード詐欺グループは入念なセットアップによって、セキュリティリサーチャーらによる追跡から身元を隠し、ターゲットが導入しているさまざまなセキュリティソリューションのルールをかいくぐっている。

　IDの匿名化はもちろん、IPアドレスの詐称やタイムゾーンと言語設定の変更、MACアドレスやデバイスIDの詐称、User Agentの変更、Cookie設定などのクリーンアップなど慎重にセットアップして環境を整え、追跡を回避している。

　ストロベリー・ドーナツ氏は「セットアップの過程で彼らはIPアドレスをターゲットとした国のものに設定し、ECサイトが導入しているブラックリストに載っていないことを確認します。ここで頻繁に使われるのが『レジデンシャルプロキシ』です。海外からダイレクトにアクセスしたり、公開中継サーバを用いたりする代わりに、マルウェアに感染した国内の端末を踏み台にすることで対策をかいくぐり、追跡を逃れようとします。ほとんどの中国の詐欺グループはレジデンシャルプロキシを使っています」と解説する。

追跡を逃れるために使われる「レジデンシャルドメイン」（出典：CODE BLUE事務局の提供画像）

　レジデンシャルプロキシもサービス化されている。「レジデンシャルプロキシプロバイダーからオンラインで購入でき、希望するIPアドレスを選ぶと、ターゲットに偽のIPアドレスでアクセスできます」（ストロベリー・ドーナツ氏）

　その一例が「911」と呼ばれるサービスだ。911のインフラは無料VPNサービスを装って配布されているソフトウェアによって構築されている。インストールするとユーザーの同意なしに、つまり知らぬ間に、詐欺師にとって有益なレジデンシャルプロキシ化されてしまう。それも国単位ではなく「東京」「大阪」「福岡」「沖縄」など、ターゲットとするユーザーの地域に合わせて選択できるようになっている。

　911のサービス自体は2022年7月に閉鎖されたが、同氏は「まだこうした活動は形を変えて続いている」と疑念を抱く。