オンラインマネーの現金化(キャッシュアウト)
~各国の犯罪者が考えるその方法とは~
Quarterly AFCC NEWS:2015
年第
4
四半期版
(Vol. 95)
フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視 を 開 始 し 、 ホ ス テ ィ ン グ 事 業 者 と 協 力 し て フ ィ ッ シ ン グ サ イ ト を 閉 鎖 し ま す 。 FraudAction の 中 核 で あ る AFCC(
Anti-Fraud Command Center:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時 間 365 日体制で数カ国語を駆使し、対策に従事しています。Quarterly AFCC NEWS は、AFCC がまとめた四半期レ ポートからトピックと統計情報をまとめたものです。(2015 年 12 月 21 日発行) 今号のトピック 『オンライン犯罪者たちはいつでも現金化手段に注目している』 地下フォーラムで交わされている、不正に手に入れた預金や電子マネーの現金化テクニックとは 『コントロールパネルからのフィッシング攻撃』 中南米の金融機関利用者を狙うフィッシング攻撃用の仕組みを RSA が発見 今号の統計のハイライト 2015 年第 3 四半期、フィッシング攻撃は前四半期比 3.3%の微増であったが、トロイの木馬による攻撃は前四 半期比で半減となった。最も多く用いられているトロイの木馬は、相変わらず Zeus だが、前四半期比で比率を 12 ポイント落とした。攻撃をホストしている国は、フィッシング、トロイの木馬を問わず米国でフィッシング攻撃の 34%、トロイの木馬攻撃の 44%をホストしている。
今号の特集 オンライン犯罪者たちはいつでも現金化(キャッシュアウト)手段を模索している オンライン犯罪者たちは、預金口座、クレジットカードなど、不正に取得した金融資産の現金化や資金洗浄を、 より簡単に、より効率よく、より安価に行う方法を常に探し求めている。オンライン犯罪者を排除するためのセ キュリティと認証に関する問題は当然として、それ以外にも、通貨を一つのシステムから他の形態に転換したり、 他のシステムに転送して、最終的に現金や商品を手にするまでに、オンライン犯罪者たちはいくつもの制約や障 壁に直面する。ここでは、RSA が近ごろ発見した、ある地下フォーラムでのオンライン犯罪者たちの画期的あるいは新しい現 金化方法をやり取りしている様子を通じて、海外の最新動向を紹介する。 ちなみに、日本での現金化は、「出し子」と呼ばれる引き出し役を使った方法が主流である。不正送金の宛先 口座残高の監視役が入金を確認すると、指令役が即座に出し子に指示を出す。出し子は、ATM(ほとんどがコン ビニ ATM)で現金を引き出し、それを駅のコインロッカーに預けたり、集金役に手渡すである。警察庁の発表※に よれば、2014 年は全体の 72.7%、今年上期は 59.9%で、この方法が用いられていたという(ただし、今年上期分 については解明中のものが 19.6%ある)。 ※ 出典: 警察庁発表「平成 27 年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について」 銀行口座のログイン情報をプリペイドカードを使って現金化する ある地下フォーラムの投稿者(おそらくはオンライン犯罪者であろうが)は、オンラインバンクのログイン情報を プリペイドカードを使って現金化する方法が便利だと勧めている。この投稿者が勧める方法の主なメリットはス ピードにある。2 日以内に現金化を終えられるので、初動段階で気づかれたとしても、支払い取り消し要請が成 立する前に預金を現金化できるという。 現金化手順 1. まず、card.com(プリペイド・クレジットカードの発行会社)で、プリペイド・クレジットカードを入手し、不正に入手 した第三者のログイン情報を使って、その人物の当座預金口座と入手したカードを結びつける(カードの有効 化には 3~5 日かかるが、登録が終われば預金のデポジットが可能)。銀行口座側は何も変更が必要ないの で、本人(口座保有者)に警告が送られる恐れはない。 2. 別の口座から 1.で作ったプリペイド・クレジットカードの口座に送金するため送金サービスに加入する。個人間 送金サービス Venmo に口座を作り、作ったクレジットカードの情報を登録する。一日待つと、本人認証を求め られるので、窃取した社会保障番号や生年月日を使ってクリアする。 3. 3 日目に、侵害した口座から Venmo の口座に預金を移す。ただし、11,000 ドル以下に抑えること。 4. その次の日、プリペイドカード口座に 10,000 ドル以下の現金を移す。 5. この時点で、新しいプリペイドカードが自宅の郵便ポストに届いているはずなので、それをオンラインで有効化 すれば、すぐに残高を使用することができる。 図-1: プリペイドカードと個人間送金サービスを使って、わずか 2 日で現金化できると投稿
現金化を成功させるためのポイントと注意事項 プリペイドクレジットカードには、10,000 ドル以下まで移すことができる。それ以上移そうとすると、差額が Venmo の口座に戻される。 送金は入金のすぐ翌日に行うこと プリペイド、Venmo、銀行の各口座の、氏名、社会保障番号、生年月日、SOCKS(ネットワーク内の位置)が 一致している必要がある Venmo 口座の残高すべてを換金しようとしてはいけない 現金化のための「フレンチ・コネクション」 RSA のアナリストが、近ごろ発見したフランス語圏の地下フォーラムには、現金化方法に関するガイドブックが 投稿されていた。そこには、Boursorama や Saxo Bank などの金融サービスプロバイダのオンライン株式売買 サービスを悪用した手口が含まれている。他人の銀行口座から株式の売買代金が引き落とされるように設定し ておいて、株式を売買し、売買益は自分の口座に送るようにするのである。 ちなみに、このガイドは、フランス語の PDF 文書でダウンロードできるようになっており、RSA では詳細の調査 を終えた段階で、改めてレポートを発行する予定。 現金化手順 1. Boursorama にアカウントを開設し、窃取した預金の送金先口座を結びつける。 Boursorama での口座登録には、アカウントの氏名が登録する口座と同じであることを確認するために、国 民 ID 番号や公共料金支払い履歴のような信用情報が必要になる。 なお、口座は同時に 2 つ開設でき、両方の口座を使って同時、もしくは交互に現金化を進めることができる。 図-2: Boursorama を悪用した現金化手法のガイドブック
2. 株取引サービスの利用申し込みに際して、株式市場についていくつか質問される。 実は株取引には興味 がないことがばれないように、株取引について少しは知っているふりができるよう、事前に何か読んでおい たほうがいいだろう。この段階をクリアすると、ユーザー名、パスワードは指定した住所に数日のうちに送ら れてくる。 3. 電信送金もしくはクレジットカードを使って、Boursorama の口座に取引用資金を入金する。ここでも、株取 引をする気がないことがばれないよう、500 ユーロぐらいは入金しよう。 4. ひとたび口座に資金が入れば、株の購入が可能になる。ただし、間違っても口座に預けた金額の 5 倍以上 株を買おうとしてはいけない。もともと目的は株取引で利益を生むことではなく、口座を維持することが重要 なので、あまり変動しない銘柄の購入が望ましい。2、3 日したら、持ち分を売却する。仮に 500 ユーロで 買ったものが 500 ユーロで売れたとすると、手数料を差し引いた 470 ユーロが残る。そのうち 400 ユーロを 用意しておいた銀行口座に移す。 5. これで準備は完了。金を受け取ったら、Boursorama を使うメリットが活きてくる。なぜなら、Boursorama は、 どんなクレジットカードでも(カードホルダー名が口座の名義と異なっていても)受け付けてくれるからだ。 良いクレジットカードが必要だが、1,000 ユーロあるいは 1,500 ユーロぐらいはクレジットカードで入金できる。 同じカードで 2 回までなら問題ない。 6. 4,000 もしくは 5,000 ユーロほど口座に貯まったら、4 つか 5 つの異なる銘柄を購入して、ポートフォリオを 作る。この手続きはその日のうちに終わらせることが重要。疑われないように購入した銘柄は、少なくとも 2-3 時間は保有する。5 つのうち 1 銘柄を残して 4 銘柄を売却し、3,000 もしくは 4,000 ユーロを自分の口座 に送金する。 7. クレジットカードの引き落としに間に合うように、送金から 48 時間以内に振り込みは完了するはずなので、 時間に余裕はある。入金を確認したら、最後の 1 銘柄も売却して、最後の送金を済ませれば完了(同社が要 する申し立ての処理時間を考えれば、理屈の上では、取引はそれまでに承認され、送金は完了してしま う)。 このガイドブックは「この方法は、Saxo Bank でも使える。ただし、送金要請をメールで送る度に、文書を毎回 ダウンロードして送らなければならず、最初を除けば 48 時間かかる。株取引サービスはいくらでもあるので、都 合の良さそうな業者をオンラインで選べばいい。ただし、この方法は絶対に秘密だ」と締めくくっている。 ADVANCE CASH のプリペイドカードを使った現金化 他にも、あるフランス語圏の地下フォーラムで、僅かなコスト(あるいはまったくの 0 コスト)で Bitcoin を欧州通貨 に現金化する方法を勧める投稿を、RSA のアナリストが発見している。この投稿者は、Advanced Cash
(advcash.com) という、(合法的)電子通貨サービスの利用を勧めている。それによると、お勧めの方法は、 MasterCard が発行した現物の Advanced Cash プリペイドカードを申請し、Bitcoin を口座に預け入れ、現金とし て ATM で引き出したり、店頭やオンラインでの物品購入に使うというものだ。
この口座への預け入れには、SEPA(Single Euro Payment Area:単一ユーロ決済圏)、SWIFT(Society for Worldwide Interbank Financial Telecommunication: 国際銀行間通信協会)、あるいは Bitcoin の銀行送金(追 加オプションがあるが、クレジットカードからの預け入れはできない)が利用できる。RSA では、ロシア語圏の地下 フォーラムでも、Advanced Cash プリペイドカードを使って ATM 経由で現金化するのが簡単だと勧める投稿を確 認している。
Advanced Cash は、すぐに使えるように名前とメールアドレスを用意するだけで始められる柔軟な利用規約 が売り物の正規の電子財布サービスである。預金の預け入れを始めれば、すぐに電子財布を使うことができ、ほ とんど審査らしい審査もなく、最小限の費用で仮想支払いカードも作ることができる。Advanced Cash は、 Bitcoin からの預け入れを認めていて、利用者が取引を行うと、自動的にユーロや米ドルといった標準通貨への 両替を行ってくれる。 オンラインバンキング・オプションは、主に東欧のオンラインバンクに対応している。預け入れと引き出しオプ 図-5: 口座入金用の電子通貨オプション 図-6: 口座入金用の電子通貨オプション 図-3: ロシア語圏地下フォーラムの Advanced Cash を勧める投稿 図-4: オンラインバンキングオプション
ションは、地下のオンライン犯罪者たちに好まれよく使われている多くの電子財布と Advanced Cash の口座との 間で利用できる。 コントロールパネルからのフィッシング攻撃 RSA のアナリストは、スペインや中南米の銀行の顧客を狙ったいくつかのフィッシング攻撃を調査した際に、こ れまでほとんど目にしたことのないタイプのフィッシング攻撃実行に用いるコントロールパネル群に遭遇した。 このコントロールパネルは、「リダイレクト」「スパム/メール」「ログ/統計情報」の 3 種類に分類できる。さらに、その うちのリダイレクト先の URL を辿って到達したウェブシェル(PHP バックドア)を調べることで、フィッシング攻撃に 図-7: コントロールパネルへのログイン画面 図-8: スパムメール送信用コントロールパネル
用いられる数種の PHP プログラムコードも確認された。
このコントロールパネルは、IDT(International Desk Team)と Pwned Software という署名を保有し、数多くの メキシコドメイン(例: autahorros.mx、financiamentoautonomos.mx)上で運用され、そのユーザーインタフェース にはスペイン語が用いられていた。
図-9: リダイレクション用コントロールパネル(1)
今号の統計レポート
銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。前四半期比ほぼ 半減となった。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数の推移。前四半 期比で 58.6%減少した。 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 2,519 2,183 2,609 2,583 1,310 0 500 1,000 1,500 2,000 2,500 3,000 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 4,643 6,976 5,871 7,775 3,221 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 認知されたトロイの木馬亜種の分類 2015 年第 3 四半期、世界を対象とし た攻撃への関与が確認されたトロイの 木馬について、RSA AFCC が認知した ものを原種別に分類した結果。Zeus は 全世界において独点的な地位を占め続 けているが、前四半期比で 12 ポイント 減少し、その一方で Citadel が 7 ポイン ト、ISR Stealer が 10 ポイント比率を上 げた。 マルウェア攻撃のホスト国別分布 (月次) トロイの木馬と通信していた URL が ホストされていた国毎に分類した結果。 米国が前四半期比で 8 ポイント増加し たのが目に付く。 ※ いずれもホストした ISP やフィッシン グドメインを管理していた登録事業 者の所在地別分類である。 フィッシング攻撃数(四半期推移) 2015 年第 3 四半期、AFCC が認知したフィッシング攻撃件数は 130,946 件で、前四半期比で 3.3%増だった。 前年同期を 30.3%上回り、累計数でも前年同期を 7.3%上回った。 Zeus 40% Citadel 30% ISR Stealer 15% Dyreza 8% Pony Stealer 2% Beta Bot 2% Qakbot 1% Brazilian Banker その他 1% 米国 34% 南アフリカ 7% ドイツ 3% 英国 2% ロシア 2% トルコ 2% ルクセンブルグ 2% ウクライナ 2% インド 1% ポーランド 1% オランダ 1% その他 43%
フィッシング攻撃を受けた回数(国別シェア) 2015 年第 3 四半期も全体の 63%の攻撃が 米国のブランドに対して向けられた。中国が 15%を占め 2 ヶ月連続の 2 位に入った。英国、 カナダの 3 位、4 位も 2 ヶ月連続だった。 フィッシング攻撃のホスト国別分布(月次) 2015 年第 3 四半期も、世界の攻撃の 44%は 米国内でホスティングされていた。香港が 18% を占め 2 位、3 位中国までは変わらなかった。4 位にオランダが上がり、ドイツは 5 位に後退し た。 ※ いずれもフィッシングサイトをホストした ISP や フィッシングドメインを管理していた登録事業者 の所在地別分類である。 144,334 105,183 81,961 99,699 125,212 141,344 108,454 147,359 100,510 142,812 125,006 126,797 130,946 0 20,000 40,000 60,000 80,000 100,000 120,000 140,000 160,000 2012-Q3 2012-Q4 2013-Q1 2013-Q2 2013-Q3 2013-Q4 2014-Q1 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 米国 63% 中国 15% 英国 6% カナダ 4% 南アフリカ 3% スペイン 2% オランダ 2% インド 2% その他 4% 米国 44% 香港 18% 中国 10% オランダ 3% ドイツ 3% 英国 2% 南アフリカ 2% インド 2% その他 16%
日本でホストされたフィッシングサイト(月次推移) 2015 年第 3 四半期、日本でホストされたフィッシングサイト数はのべ 62 件だった。第 2 四半期の 35 件から 比較すると、77%増加した。前年の第 3 四半期の 99 件に比べると 6 割ほどではあるが、9 月単月の水準は、今 年はもちろん、昨年と比較しても最悪に近く、注意が必要である。 フィッシング対策協議会の発表によると、第 3 四半期の間に報告されたフィッシングの件数は、1,250 件で、第 2 四半期の 3,806 件から 3 分の 1 ほどに減少した。第 2 四半期の攻撃の多くを占めた金融機関の利用者を狙っ た攻撃が減少したと見られる。 第 3 四半期に入っても、内閣府、環境省、厚労省、科学技術振興機構、鳥取県、堺市、日本赤十字社、東京大 学、富山大学、愛媛大学、福岡大学となど、多くの公的機関や教育機関で外部からの不正アクセスによる情報 漏えいなどの被害に遭った。民間企業においても、シャトレーゼで 21 万人に上る会員情報の漏えいが疑われる 事案が起きたほか、JR 北海道や日本郵政、岡山放送などでも不審な外部から通信が確認されている。 10 月に入って目立つのが、マイナンバーに関連するトラブルである。今のところ、配送トラブルが目立っている が、すでに「マイナンバーが漏えいした」などと騙る詐欺メールも確認されている。今後の動向に注意が必要であ る。
AFCC NEWS のバックナンバーは Web でご覧いただけます。
http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース
本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通)、(03)6830-3291(部門代表) eMail : [email protected] Twitter : @RSAsecurityJP WEB : http://japan.emc.com/rsa
25 15 30 45 20 24 11 18 8 9 12 10 40 0 5 10 15 20 25 30 35 40 45 50 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。
