サイバー脅威
攻撃グループ「Impulse Team」による数年来に及ぶ過去最大規模の暗号資産詐欺活動を調査
本調査では、攻撃グループ「Impulse Team」が展開している大規模な暗号資産詐欺の実態を解明しました。Impulse Teamは、「Impulse Project」と呼ばれるアフィリエイト(成功報酬型プログラム)を運用し、その参加者を募っていました。これらの参加者によって構築された詐欺用のWebサイトは、合計で千件以上に及ぶことが分かりました。
主な発見事項
- 本調査では、攻撃グループ「Impulse Team」が展開している大規模な暗号資産詐欺の実態を解明した。
- ロシア語話者からなる本グループは、「Impulse Project」と呼ばれるアフィリエイト(成功報酬型プログラム)を運用し、その参加者を募っていた。
- これらの参加者によって構築された詐欺用のWebサイトは、合計で千件以上にも及ぶことが判明した。
- この詐欺キャンペーンは、遅くとも2021年頃から運用されていた。
- これまで、詐欺活動の一部分を示す個別の報告は挙がっていたが、その全体像に踏み込んだ解説や報告は見られなかった。
- 一部の詐欺グループは、警戒心の低いユーザを騙して自身の詐欺サイトを信頼させる一手段として、詐欺対策用の正規なWebサイトをコピーし、その内容を改変して公開した。
概要
ここ数年に渡り、暗号資産は金融業界の専門家だけでなく、「容易な」収入源を求める一般ユーザの間でも、注目の的となっています。ビットコインなどの典型的な暗号資産は、時間とともにその価値が大きく変動します。こうした性質は、一部の投資家にとって、利益を生み出す源として魅力的に映るものです。
しかし、暗号資産業界の動向や仕組みについて理解することは、必ずしも容易ではありません。これは、巨額の資金をつぎ込む投資家についても同様です。そのため、暗号資産の市場は、不正な活動によって利益を得ようとする攻撃者の目にも魅力的に映るものです。市場の仕組みを知っている人よりは、知らない人の方が騙しやすいためです。トレンドマイクロでは、この種の脅威について注意を促し、有効な対策について共有するため、暗号資産関連のブログ記事をこれまで数度に渡って公開してきました。
はじめに本稿では、ある典型的な暗号資産詐欺サイトを調査した結果について述べます。次に、より詳細な分析の結果として、本Webサイトが実際には巨大な詐欺サイト網の一部分に過ぎなかったことを示します。この詐欺サイト網を背後で率いているのはロシア語話者によって構成された攻撃グループ「Impulse Team」であり、暗号資産詐欺としては最大規模のものと考えられます。
最終的に、類似する内容の詐欺サイトが千件以上発見されました。そして、これら全サイトが、先述したImpulse Teamによるアフィリエイト「Impulse Project」に参加していました。
この大規模な詐欺キャンペーンによって騙された被害者は、全世界で数千人に及ぶと考えられます。騙しの手法は巧妙な「手付金詐欺」の一種であり、被害者ははじめに、多額の暗号資産に当選した旨を伝えられます。しかし、詐欺サイト上で当選金を受け取る際にアカウントをアクティブ化するように指示され、その名目で、少額ながら「手付金」の支払いが求められます。
本件に関する侵入の痕跡(IoC:Indicators of Compromise)は、CDN(Contents Delivery Network)サービスを提供するCloudFlareとの間で共有されています。
初期調査
今回の調査は、Twitter上に拡散されたプライベートメッセージを皮切りに始まりました。このメッセージには、ユーザをWebサイト「varbytrade[.]com」に誘い込む内容が記載されていました。発信者のアカウントはその用途にだけ使用されたようであり、すでに停止されています。
図1は、詐欺グループが被害者向けに送付したメッセージです。その内容として、0.78632ビットコイン(BTC)または27,763米ドル(本稿執筆時点での換算)に及ぶ巨額の暗号資産に当選した旨が謳われ、不正なプラットフォームへの新規参加が促されています。
被害者がこれに応じて当該プラットフォーム上でアカウントを作成すると、アカウントのアクティブ化のために、少額のBTCを入金するように要求されます。必要な入金額は0.01BTC(本稿執筆時点で277米ドル相当)以上とされています。
アクティブ化に必要な入金額は決して小さなものではありませんが、約束された見返りの額に比べれば、些細なものに映るでしょう。しかし、詐欺であることから推測される通り、被害者が実際に入金しても、当選額を引き出すことはできず、何らの対価も得られません。
先述したWebサイト「varbytrade[.]com」のドメイン登録者は、他にも似た名前のドメインをいくつか登録していたことが分かりました。そのいずれにおいても、似たようなWebコンテンツが公開されていました。
- Harbytrade[.]com
- Jarbytrade[.]com
- Karbytrade[.]com
- Narbytrade[.]com
- Parbytrade[.]com
- Sarbytrade[.]com
上記ドメインは、その登録者だけでなく、登録日付も「varbytrade[.]com」と同じであることが分かりました。Webサイトの内容についても、名前やロゴ画像がわずかに異なっていた点を除き、全く同一であることが確認されました。
同じ詐欺活動に紐づくこれら6つのWebサイトは、氷山の一角に過ぎないことが、後の調査によって判明しました。以降では、本詐欺キャンペーンの全体的な実像に踏み込んだ分析結果について解説します。
多量に存在する詐欺サイト
さらに掘り下げて調査したところ、他にも似たような内容のWebサイトが数多く見つかり、そこでも同種の詐欺行為が行われていました。これらのWebサイトには異なるデザイン・テンプレート(雛形)が使用されていますが、先述した6つの詐欺サイトを含め、全て何らかの接点を持っていると考えるに至りました。
最終的に、当該の詐欺活動に関与しているWebサイトが、合計で千件以上発見されました。サイトの作成日については、2021年1月から2023年3月にかけて、ある程度の幅が見られました。さらに、2016年頃から活動中のグループが関与したと考えられる詐欺サイトも、わずかながら確認されました。
Webサイトのデザイン方針として、トップページにより多くの内容が記載される傾向が見られます。これは、当該Webサイトにアクセスしたユーザに対して、まず第一に、安全で正規なサービスであるという印象を植え付けるためと考えられます。さらに、正規なWebサイトを装う追加手段として、主要な暗号資産の価値をリアルタイムで表示する枠も設けられています。
アフィリエイト「Impulse Project」
今回発見された全てのWebサイトが、先述のアフィリエイト「Impulse Project」に参加していました。なお、Impulse Projectはロシア語話者を対象とするいくつかのサイバー犯罪フォーラムで宣伝されていました。
Impulse Projectへの参加希望者は、Impulse Teamに連絡を取り、サービス登録を行う必要があります。通常、この種のアフィリエイトに参加する際には、加入費の支払いが必要になりますが、Impulse Teamが提示した額については確認できていません。また、詐欺によって発生した報酬額の一部は、大元の運営組織に中抜きされることとなります。
Impulse Teamは、図7のように、参加者が利用するインターフェースの画面サンプルを提示しています。また、管理者であるImpulse Team自身が用いるインターフェースの画面サンプルも、併せて提示しています。
プログラムへの参加者は、ドメイン名を自身で登録した上で、それをImpulse Team側に報告する必要があります。このため、詐欺に使用されたドメインの登録法は、参加者毎に異なったものとなっています。各参加者はドメインの取得後、Impulse TeamからCDNサービス「CloudFlare」の設定用スクリプトを受け取り、それを当該ドメインに適用します。
詐欺サイトに関するデータベースは、アフィリエイトへの参加者単位で割り当てられます。この結果、ある参加者の詐欺サイト内で被害者アカウントが作成された場合、その参加者が運営する全詐欺サイト上で当該アカウント情報が共有されます。一方、他の参加者が運営する詐欺サイトには影響を与えません。こうした仕組みにより、各参加者はそれぞれ独立して活動を行うこととなり、互いに干渉しあう、または連携しあうような状況が回避されます。
偽装Webサイト「scam-doc」
調査中、他とは異なる特殊なWebサイト「scam-doc[.]com」が発見されました。
このドメイン名「scam-doc[.]com」は、Webの信頼度を判定する正規なサイト(samdoc.com)を装ったものです。本ドメインの登録に用いられたメールアドレスを調べたところ、他の暗号資産詐欺サイトの登録に用いられたメールアドレスと一致することが判明しました。調査時点で偽装サイト「scam-doc」は閉鎖されていましたが、インターネットアーカイブ「archive.org」を通して過去の内容を取得することができました。
図10上部の偽装サイトはarchive.orgから取得しているため、画像など一部の要素が表示されていません。しかし、図の下部に示す正規な「scamdoc」と比べると、バナー中のテキストなどが一致していることが見て取れます。さらに注目すべき点として、偽装サイト内にはさまざまなWebサイトに対する信頼値(Trust score)が表示され、その中には、正規なものと不正なものの双方が含まれています。
偽装サイト「scam-doc」のメールアドレスや宣伝文は見つかりませんでした。しかし、調査に基づく見解として、scam-docはWebの信頼度判定ツールに偽装することで、サイバー犯罪用のWebサイトを意図的に正規なものとして見せかけ、より多くの被害者を誘い込むために使用されていたと考えられます。
また、scam-docでは、信頼度の高いWebサイトとして、暗号資産詐欺サイトの他にカジノ用Webサイトも挙げていました。この背景として、同じサイバー犯罪グループが両サイトを同時に運営していたか、あるいは、scam-doc自体が複数のサイバー犯罪グループ間によって共用されていた可能性も考えられます。
偽装サイト「scam-doc」が稼働していた期間は2021年12月から2022年7月までであり、その間、内容の更新などは一切見られません。
ソーシャルネットワークによる活動
先の図1では、詐欺活動にTwitterが利用された例を示しました。しかし、この他にも、TikTokを含むさまざまなソーシャルネットワーク上の広告や動画が、被害者を誘導する手段として利用されています。
詐欺サイトに被害者を誘い込むための宣伝活動は、アフィリエイトの参加者自身が行います。その結果として、宣伝手法も多岐に渡ります。その例を図11、12に示します。
上記の他、ソーシャルネットワークサービス「Mastodon」を用いて詐欺サイトを大々的に宣伝するケースも見られました。これに類する動きは、2023年5月のBrian Krebsによる記事からも確認できます。具体的には、Mastodonのインフラ業務を担当する「Renaud Chaput」氏の話として、「Mastodonのサーバ上でプライベートメッセージが多量にスパム配信され、100を超える詐欺サイトの宣伝に利用されていた」ことが述べられています。弊社がRenaud氏に問い合わせたところ、本件に関する諸情報とともに、「詐欺サイトに誘導するメッセージがスパム配信される数分前に、数百にも及ぶMastodonアカウントが一斉に多量生成されていた」という旨の回答が得られました。
この大規模な詐欺キャンペーンに紐づく報告は、以前からも、暗号資産や詐欺関連のWebサイトに挙がっていました。しかし、その内容は、個々の報告者自身が経験または確認した範囲に限定されています。一度の報告で数十に及ぶ詐欺サイトが指摘されることもありますが、同じ詐欺キャンペーンに紐づく他の報告との関連を見出し、全体像にまで近づくことは難しいでしょう。
こうした制約の中でも、一部のWebサイトやユーザからは貴重な分析結果が報告されています。その具体例が「Fake Website Buster」や「bitcointalk.org」であり、後者では180近くの詐欺サイトが報告されています。しかし、詐欺サイトが週単位で次々に作成される状況を踏まえると、これもまた、全体のごく一部分に過ぎないと考えられます。実際に、弊社の調査では、作成された詐欺サイトの総数は千件を上回ることが確認されています。
被害額
調査中、Impulse Projectの取引記録システムとして稼働するTelegramチャネルが発見されました。本チャネルは全ユーザ向けに公開され、被害者が暗号資産を支払う度に、その内容がボット(自動化プログラム)によって追記されます。
本チャネルは2022年10月に作成されましたが、記録の内容によると、実際に暗号資産の取引が始まったのは2022年12月24日のこととなります。
2022年12月24日から2023年3月8日にかけて行われた取引の総額は5百万米ドル以上に及び、USDT(Tether)で保持されています。
取引毎の金額を入念に調べた結果として、Impulse Teamは、ボット機能を操作して事実とは異なる金額を記録させていた可能性が疑われます。その目的として、チャネルの数値を通してImpulse Projectによる儲け額の大きさや効率の良さを見せつけ、参加者の増加を図ったものと推測されます。
詐欺報告プラットフォーム「Bitcoinabuse」では、先述した詐欺サイト「Jarbytrade」の送金先と見られるビットコイン・ウォレットに関する報告が上がっています。ただし、この事実関係については確認できていません。
このウォレットは、合計で500,000米ドルに相当するBTC(本稿執筆時点での換算)を受け取っていることが分かりました。しかし、本ウォレットが実際に詐欺サイト「Jarbytrade」の運営者に繋がっているかどうかは、確認できていません。
結論
本稿では、攻撃グループ「Impulse Team」が展開する暗号資産詐欺キャンペーン「Impulse Project」について、特にそのインフラの規模に焦点をあてて解説しました。Impulse Teamは、詐欺活動の参加者に対してインフラやホスティングサービスを提供することで、参加者自身で効率良く詐欺サイトを運営できる環境を整えています。これにより参加者はインフラ周りの作業から解放され、詐欺サイトの宣伝をはじめとする他の重要な活動に専念できるようになります。
こうした戦略は、参加者とImpulse Teamの双方にメリットをもたらします。参加者は、詐欺活動に役立つリソースを入手できるようになります。Impulse Team側では、参加者が得た利益の一部を回収できる他、参加者から直接支払いを受けることも可能です。
推奨事項
オンライン広告、特にプライベートメッセージやソーシャルメディアを通して直接送られてくる広告については、十分に警戒する必要があります。今回挙げたような詐欺に遭わないためには、オンライン広告に対して適度な疑念(話がよすぎる場合は何か裏がある)をもって臨むことが重要です。標準的なベストプラクティスとして、広告を掲載しているプラットフォームやWebサイトの信頼性を常時確認することを推奨します。また、評判が良く、広く認知され、かつ信頼性の確立されたプラットフォームのみを利用することも、有効な対策として機能します。この他、下記ベストプラクティスについて検討することを推奨します。
- 製品やサービスについて調査する:宣伝されている製品やサービスを購入する前に、十分な注意を払い、その信頼性に関する調査を行ってください。他ユーザからの評価やフィードバックは、信頼性の判断材料として役立ちます。
- 不審なリンクをクリックしない:未知のWebサイトに転送させる広告に対しては、十分な注意が必要です。デスクトップやラップトップ端末をご利用の場合、リンク上にマウスカーソルをあててURLをチェックすることも、転送先が正規なサイトであるかを判断する一助となります。
- フィッシング攻撃に警戒する:不正な広告の中には、ユーザを騙し、個人情報やログイン認証情報を入力させるものがあります。オンライン広告や不審なリンクを通して機密情報を共有しないように注意してください。
- 「低リスク・高リターン」な投資の誘いに対して疑いの目を持つ:都合の良すぎる投資話には、何か裏がある可能性が高いと考えられます。資金を投じる前に、十分な調査と検証を行ってください。
- 新たな攻撃手段に警戒する:グループチャットや偽プラットフォーム上での身分認証など、詐欺グループが用いる手口に関する最新情報を確認してください。詐欺がどのように行われているかを知ることは、不審な点を見抜き、被害を避ける上で有用です。
オンライン広告に対処する上では、警戒体制を維持し、基本知識を持つことが重要です。広告に何らかの不審な点を感じたのであれば、クリックまたはタップしないようにすることが最善です。
トレンドマイクロではこれまで通り、この種のサイバー犯罪に関する情報を開示していきます。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Impulse Team’s Massive Years-Long Mostly-Undetected Cryptocurrency Scam
By: Cedric Pernet, Joseph C Chen
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)