仮想通貨を狙うフィッシング詐欺、既に闇市場での「サービス化」も確認
2017 年以降、仮想通貨を狙うサイバー犯罪の動向に注目が集まっています。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)を使用した発掘(マイニング)を利用者のリソースを盗用し不正に行う手法が主流となっていますが、今後は利用者の所持する仮想通貨を直接的に窃取する手法も拡大してくるものと推測されます。今回のブログ記事では、既存のフィッシング詐欺でも Web 上の仮想通貨関連サービスの認証情報が狙われ始めていること、そして、既にその動きを加速させるアンダーグラウンドマーケット(闇市場)の動きが確認されていることもお伝えします。
2017 年以降、仮想通貨を狙うサイバー犯罪の動向に注目が集まっています。現在、仮想通貨を狙う攻撃では、仮想通貨発掘ツール(コインマイナー)を使用した発掘(マイニング)を利用者のリソースを盗用し不正に行う手法が主流となっていますが、今後は利用者の所持する仮想通貨を直接的に窃取する手法も拡大してくるものと推測されます。今回のブログ記事では、既存のフィッシング詐欺でも Web 上の仮想通貨関連サービスの認証情報が狙われ始めていること、そして、既にその動きを加速させるアンダーグラウンドマーケット(闇市場)の動きが確認されていることもお伝えします。
図:3 月に確認された国内仮想通貨取引所を狙うフィッシングメールの表示例
(サンプルを元に再構築)
国内における仮想通貨関連のフィッシング詐欺事例としては、2017 年 11 月に国内の仮想通貨取引所を対象にした事例を確認しており、フィッシング対策協議会からも注意喚起が行われています。それ以前に国内の仮想通貨関連のフィッシングは注意喚起されておらず、これが国内初の事例だったものと言えます。また、直近では 2018 年 3 月に入り、別の国内仮想通貨取引所を対象にした事例も確認しています。上図はこの 3 月に確認されたフィッシングメールの例です。「アカウントの侵害から保護するため預かっている資金を凍結した」という旨の内容で利用者にログイン後の設定変更を求めています。利用者がメールの内容を信じて URL をクリックすると、偽の仮想通貨取引所サイトのログイン画面が表示され、パスワードのリセットを求められます。これにより、最終的にメールアドレス、パスワード、二段階認証コード、リセット後のパスワード(フィッシングのため実際にはリセットは行われない)の情報が詐取されます。リセット後のパスワードまで要求するのは一見蛇足のように思えますが、これは使いまわしのパスワードを狙うアカウントリスト攻撃により、他のクラウドサービスの侵害までも狙ったものと推測されます。
図:3 月に確認された国内仮想通貨取引サイトを偽装するフィッシングサイトの表示例
このフィッシングサイトは入力を進めていくと、最終的に二段階認証コードのエラーと言う形で終了します。また、入力内容の検証は行っておらず、何も入力せずにボタンを押しても次の画面に遷移してしまうなど、利用者に不審と思わせる部分が多く見られるものとなっています。
同様に海外でも仮想通貨関連サービスを狙うフィッシングサイトの動きは確認されています。下図は、今年 1 月に確認された仮想通貨のクラウドウォレットサービスの認証情報を狙うフィッシングサイトの例です。トレンドマイクロで確認した不審メールを過去に遡って確認したところ、このクラウドウォレットサービスを狙うフィッシングメールは 2017 年 12 月ころから出回っていたようです。
図:仮想通貨のクラウドウォレットサービスの認証情報を狙うフィッシングサイトの表示例
ウォレットは仮想通貨を自身で所持、管理するためのソフトウェアですが、そのクラウド版のサービスの認証情報を詐取することにより、利用者の所持する仮想通貨を直接的に操作することを目的としたものと考えられます。トレンドマイクロの解析によれば、このフィッシングサイトは入力された認証情報をメールで攻撃者に通知する仕組みを持っていました。
またトレンドマイクロのサイバーアンダーグラウンドリサーチからは、フィッシングサイトが確認されたものと同じクラウドウォレットを狙うフィッシングページの「販売サービス」が闇市場内で提供されていることもわかりました。
図:クラウドウォレットサービスのフィッシングページの闇市場内での販売表示例
この闇市場内で提供されているサービスでは、クラウドウォレットサービスのフィッシングページを1つあたり$7で販売するとしています。ここで販売されているフィッシングページと実際に確認されたフィッシングサイトの直接の関係はわかっていません。しかしこのフィッシングページの販売は、闇市場とそこに集まるサイバー犯罪者が既に Web 上の仮想通貨関連サービスにも狙いを定めていることを示しています。
昨年来の仮想通貨価格の高騰は一般利用者の関心も呼び込み、多くの人が仮想通貨を所持するようになっています。投機目的で所持する利用者の多くは仮想通貨取引所などの Web サービス上で仮想通貨を保管しているものと思われます。このような利用者が増えるにつれ、Web 上の仮想通貨関連サービスを狙うサイバー犯罪者も増えるでしょう。利用者にとって仮想通貨は重要な財産であることは間違いありません。そして、それを守るためのセキュリティの重要性もより高まっていくでしょう。
■被害に遭わないためには
フィッシング詐欺は誤解や思い込みを利用して、利用者自らに情報を漏えいさせる詐欺手法です。このような人を騙す詐欺にはその手口を知ることが対策の一歩となります。また、認証情報の入力を求めるようなメール、Web サイトなどについてはよく正当性を確認してください。一般的なフィッシング詐欺にだまされないための注意点については以下のブログ記事にまとめておりますのでご参照ください。
「すぐ役立つ!フィッシング詐欺を見抜くためのポイントとは?」
また、多くのクラウドサービスでは、二要素認証や二段階認証のような強化された認証方法を提供しています。仮想通貨取引のように自身の資産を扱うサービスを利用する際には、より高いセキュリティレベルの実現のために強化された認証方法の使用を強く推奨します。また、複数のサービスで同じパスワードや類推可能なパスワードを使いまわすことは止めましょう。
■トレンドマイクロの対策
トレンドマイクロ製品では「ファイルレピュテーション(FRS)」技術により不正プログラムの検出に対応します。「E-mailレピュテーション(ERS)」技術ではメールに対する危険性の評価から、フィッシングの危険性の高いメールの受信をブロックします。「Web レピュテーション(WRS)」技術では Web に対する危険性の評価から、フィッシングサイトを判定しアクセスをブロックします。
また、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加えて、次世代の AI 技術のひとつである高度な機械学習型検索を活用し、変化する攻撃手法にも対応可能です。
※調査協力:秋保 陽介(日本リージョナルトレンドラボ)