詐欺師らはいかにしてクレジットカード情報を窃取し、現金化するのか？：実録、知られざる攻撃者の世界（2/2 ページ）

[高橋睦美，ITmedia]

追跡を逃れる入念なAnti-Fraud（不正対策）とは

　こうして入念にセットアップを実施した後、詐欺グループは「フィッシングのセットアップ」のステップに移る。

　フィッシングサイトを用意するにも幾つかの要素が必要だ。まず、フィッシングメールの拡散先となる「メールデータベース」や、フィッシングサイトそのものを作成する「フィッシングキット」が必要になり、それらも蛇の道は蛇でオンラインで入手できる。

　フィッシングサイトを作るには、既存のWebサイトを侵害して改ざんする方法とレンタルサーバやVPS（仮想専用サーバー）を利用する2つの方法がある。前者にはレピュテーションが高いというメリットがあるが、改ざんがすぐ発覚して削除される可能性も高い。レンタルサーバを使う方法は、フィッシングキットに含まれているサーバやテンプレートを利用するだけで、さまざまな企業やブランドを装うことが可能だ。

　ストロベリー・ドーナツ氏が確認しただけでも、カード会社や決済サービスはもちろん、新型コロナウイルス感染症（COVID-19）のワクチンの予約サイト、えきねっとなどさまざまな種類のフィッシングキットが用意されていた。

　これらのフィッシングキットにも、追跡を避けるためのさまざまな「工夫」が凝らされている。Amazonを装うフィッシングキットの場合、botによるアクセスは拒否し、独自のブラックリストを用意してセキュリティ企業やリサーチャーからのアクセスをブロックする一方で、アクセスしてきた人がプロキシを利用している場合には実IPアドレスを入手しようとする。さらに、ジオロケーション情報も確認し、中国や日本以外からのアクセスにはエラーを返す仕組みだ。

　「彼らにとってのAnti-Fraud（不正対策）、つまりアンチ・セキュリティリサーチャーやアンチ・セキュリティ組織の機能が搭載されています」（ストロベリー・ドーナツ氏）

　こうして非常に入念に作られたインフラとキットを駆使してフィッシングサイトを構築し、ばらまいたメール経由でアクセスしてきたユーザーをだましてフィッシングを実行する。

　ここでもスパムフィルターのルールやレピュテーションに基づくブロックを回避するため、継続的にコンテンツや環境を改善している。ストロベリー・ドーナツ氏によると、IPアドレスを継続的に変更し、できるだけクリーンな状態を保つ一方で、リスク分散のために複数のドメイン名を駆使し、どれかがブロックされてもフィッシングを継続できるようにしている。

　また同詐欺グループは、URLリダイレクトツールも利用していた。「httpsから始まっており、パブリックなドメインなのでレピュテーションも高く、URLを正常なものに見せかけられる上に、仮にメールフィルターでブロックされたとしても別のURLを用い、フィッシングサイクルを素早く再開できます」（ストロベリー・ドーナツ氏）

　この結果、多数の被害者からクレジットカード番号や電話番号、パスワードなどのアカウント情報、IPアドレスやフィンガープリントなどの環境情報が大量に収集されてしまう。

人気ある「もの」を使って現金化　「TikTok」やNFT（非代替性トークン）が使われるケースも

　詐欺グループのバリューチェーンはこれで終わりではない。カード悪用のためのセットアップと実際の悪用、現金化というステップを経て、不当な利得を手にしている。

　ストロベリー・ドーナツ氏は「現金化にもいろいろな手法がある」と説明した。まずは、盗んだクレジットカード情報を使って、Webサイトなどで暗号通貨やギフトカードを直接購入する方法。2つ目は、盗んだ情報を使ってECサイトで商品を購入し、商品は協力者である受け子に受け取ってもらう方法だ。受け子は商品を中国に送金し、対価を受け取ることで金銭を入手する形で、日本でよく用いられているという。

　ストロベリー・ドーナツ氏はさらに「過去2年ほどで『TikTok』やNFTを使った新しい手法が出てきました。盗んだカード情報でTikTokコインを購入し、悪意あるインフルエンサーに寄付するもので、詐欺師とインフルエンサーが同一人物のケースや、手数料を受け取る別の人物であるケースも考えられます。また、NFTやeBookもマネーロンダリングに適しています」と述べた。TikTokへの寄付では、クレジットカードの悪用者が詐欺師なのか、それとも単に好きなインフルエンサーに寄付したいだけなのかの区別が非常に難しいという特徴がある。

　現金化に至る前段階として、詐欺師らはクレジットカードの限度額を確認する。直接カード会社のサイトにログインして確認することもあれば、年齢や携帯電話番号などの情報から類推することもある。正規の所有者のふりをしてカード会社のコールセンターに電話をかけて限度額を確認したり、カード利用に当たって求められるワンタイムパスワード認証を無効化する、ソーシャルエンジニアリングを用いたりする手口もある。「ただ、中国の詐欺師はほとんど日本語を話せないため、この手法はあまり使われていません」（ストロベリー・ドーナツ氏）

　なお、現金化の際に購入される商品としては、電化製品やブランドのバッグ、ギフトカードなど「再販しやすく安いもの」が好まれるそうだ。中には、ディズニーリゾートや「ユニバーサル・スタジオ・ジャパン」、新幹線などの「チケット」を購入し、オンラインで再販する手口もある。

　受け子を利用した現金化についても組織化が進んでいる。協力者をまとめるマネジャーがいてリストを管理しており、本来のカード保有者の住所に近いところに住む受け子を選ぶ仕組みが整っている。「大規模な現金化ディーラーの場合、独自の配送管理システムを持つところもあります。詐欺師が発注した注文番号を用いて配送管理を行っています」（ストロベリー・ドーナツ氏）

現金化の段階で不審な取引に歯止めを

　ストロベリー・ドーナツ氏は最後に、詐欺師らがうまくクレジットカード情報を手に入れ、それを悪用して何かを購入し、現金化する成功率は非常に低く、1万通に1件、あるいは10万通に1件程度であると述べた。しかし、だからこそ詐欺師らのエコシステムは大規模かつ複雑なものになっているようだ。

　「詐欺師のバリューチェーンは、フィッシング詐欺師、クレジットカード情報を悪用する人物、そして現金化するディーラーという3つの役割に分かれています。役割分担をすることで1つのタスクに集中できる上、もし警察の捜査を受けても、『友達からものを送ってもらっただけなので、何が起こっているか分からない』などと供述して法的な制裁を免れることが可能です」（ストロベリー・ドーナツ氏）

　こうした状況に対し、詐欺のバリューチェーンの上流側での対策は困難だ。現金化の段階で悪用を阻止することが現実的な対策になる。ただし、高度なML（機械学習）といったソリューションに頼る必要はなく、シンプルなルールで詐欺を阻止することは可能だ。

　ストロベリー・ドーナツ氏は「顧客を守るための最初のステップとして、SMSによるワンタイムパスワード認証や3Dセキュアを有効にすることが挙げられます。デバイスのフィンガープリントやタイムゾーン、言語、User Agentなどの情報が変わったり、配送先が変更になったりした場合にはワンタイムパスワード（OTP）を有効化することをお勧めします」と呼びかける。

　同氏は何より、カード事業者やショップを運営する事業者はもちろん、銀行や配送業者など、カードを使った決済に携わるステークホルダー全ての協力が防御には必要だとして講演を終えた。