フィッシング
日本向け偽ショッピングサイトを運用する犯罪アクターのグルーピング
トレンドマイクロでは、サイバー犯罪を行う犯罪アクターのリサーチを精力的に行っています。今回、日本国内の一般利用者を検索エンジンの検索結果から偽ショッピングサイトに誘導する脅威を詳細に分析し、3つのグループに分類しました。分類されたグループは、それぞれその背後にいる犯罪アクターのグルーピングを強く示すと考えています。
本記事では、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、その結果として判明した個々の犯罪グループが用いる手口について解説します。なお、この脅威の基本的な犯罪手口については、過去に本ブログ、および「Security GO」でのサイバーセキュリティ・イノベーション研究所執筆記事でも解説しています。以下の関連記事も併せてご覧ください。
関連記事:
1. SEOマルウェアから得られる特徴
当ブログの以前の記事(1)でも説明しているとおり、この脅威には「SEOマルウェア」と呼ばれるマルウェアが強く関わっています。攻撃者はWebサーバを改ざんし、SEOマルウェアを設置します。設置されたSEOマルウェアはWebサーバに対するコンテンツ要求を横取りし、改ざん前のWebサイトとは異なるコンテンツの応答を返します。
具体的には、Webサーバへのアクセスが検索エンジンのクローラからのアクセスであると判断した場合には、商品情報のようなSEOポイズニング攻撃に使われるコンテンツを応答します。一方で、検索結果から誘導されたユーザからのアクセスであると判断した場合には偽ショッピングサイトに転送するスクリプトを含むコンテンツを応答します。なお、各種SEOマルウェアの解析結果によると、アクセス元の判別にはHTTP要求ヘッダに記載のあるReferrerやUser-Agentヘッダを利用するようです。
リサーチの途上で、偽ショッピングサイトへの転送コンテンツがSEOマルウェアのC2サーバや時期によって異なってくることを発見しました。そこで、我々はこれらの転送コンテンツの特徴ごとに番号を付けてグルーピングすることで、C2サーバ、ひいては背後の犯罪アクターを分類することができると考えました。本リサーチではこれら分類した犯罪アクターを便宜上、「FS+グループ番号」(例:FS1 FSはFake Storeの略)の形式で名称をつけて呼んでいます。以下に例としてFS1、FS7、FS18の3グループの転送コンテンツを示します。これらはSEOマルウェアから応答される転送コンテンツを分類したもので、それぞれ以下のような特徴を持ちます。
・FS1: 改行がないHTML。偽ショッピングサイトへの転送に window.location への代入を行うJavaScriptを使う。
・FS7: DOCTYPE属性を含む、成形されたHTML。偽ショッピングサイトの転送にJavaScriptのwindow.location.replaceメソッドを用いる。JavaScriptが有効でないブラウザではMETAタグによる転送を用いる。
・FS18: JavaScriptを簡単に難読化している。JavaScriptが有効なブラウザでは、Referrer (document.referrer)の検査を行い、検索エンジンからの訪問の時のみ、setTimeoutメソッドを用いて1秒待機後、偽ショッピングサイトへの転送を行う。JavaScriptが有効でないブラウザではReferrerに関わらずMETAタグによる転送を用いる。
なお、当社では2023年9月末時点でこのような転送コンテンツ (=FSグループ) を135種類確認しています。以下ではこれらのFSグループ番号が、改ざんされたWebサイトに設置されたSEOマルウェアのC2サーバに由来するものと考え、分類を行いました。
2. 偽ショッピングサイトから得られる特徴
SEOマルウェアの応答する転送コンテンツに基づく分類と共に、転送先の偽ショッピングサイトについても、いくつかの特徴に基づいた分類が可能です。本リサーチでは、偽ショッピングサイトからそのインフラや作成キットの特徴を示すような部分を抽出し、特徴として分類しました。そして、偽ショッピングサイト側の特徴を活用することで、複数のFSグループ番号をつないでグルーピングが行えると考えます。以下では、偽ショッピングサイトから抽出した特徴と抽出した理由を説明します。
犯罪アクターが偽ショッピングサイトの運用のために用意する必要があるインフラ要素
犯罪アクターが偽ショッピングサイトを運用するにあたり、以下のインフラ要素が必要になります。
- 偽ショッピングサイトを設置するドメイン、およびサーバのIPアドレス
- 被害者と連絡を取るためのメールアドレスとそのドメイン
ここで、「被害者と連絡を取るためのメールアドレス」としては、偽ショッピングサイトの会社概要ページ等に記載されているメールアドレスを収集しました。これは、実際に偽ショッピングサイトに注文を行って応答のあるメールアドレスを収集するのが実務上難しいためです。
また、偽ショッピングサイトを設置するサーバのIPアドレスについては、犯罪アクターがCDNサービスを用いてサーバのIPアドレスを隠してしまっていることが多く、特徴としては正確性を欠いてしまうと考え、今回の分析には採用しませんでした。一方で、複数のケースでCDNサービスを使っていない、元のサーバのIPアドレスが分かるケースがありました。そのようなケースではIPアドレスの管理組織が、SEOマルウェアのC2サーバと同じ、特定のホスティング業者に偏ることが判明しています。
偽ショッピングサイト特有のアクセス解析サーバ
偽ショッピングサイトでは多くの場合アクセス解析サービスを使って訪問ユーザの属性を分析しています。本リサーチで収集した偽ショッピングサイトでは、多くの場合で海外のアクセス解析サービスが用いられていました。しかし、一部にはオープンソースのアクセス解析ツールである「Matomo」を使っているサイトが見られました。
Matomoはオープンソースであるため、サイト運営者がデータを収集するサーバさえ用意すれば、ソフトウェアに関しては無料で運用することができます。そのため、偽ショッピングサイトでのユーザの分析にも使いやすいのではないかと考えます。ここでMatomoを動作させるサーバはサイト運営者が用意する必要があるため、偽ショッピングサイトで使われるMatomoサーバは犯罪アクターに紐づく可能性が高いと考えられます。
偽ショッピングサイトに特徴的な文言
2023年9月に当社が収集した偽ショッピングサイトから、偽ショッピングサイトでよく使われる文言について分析したところ、偽ショッピングサイト構築キットの特徴を示す可能性が高い文言が複数見つかりました。特徴的な文言の例を以下にいくつか示します。
- 「ハッセル払い戻しポリシーなし」
- 「設立年月日 2013年8月18日」
- 「◆創業 2004年12月6日」
- 「お問い合わせファックス番号」
- 「日用品雑貨類等の小売業」
- 「株式会社 <商品のカテゴリ名> <「商店」、「オンラインストア」、「専門店」など店を表す文字>」
このように偽ショッピングサイト間で共通している文言は、構築に使われた偽ショッピングサイト構築キットの関連性を示していると考えられます。このため、この特徴はキットを構築した犯罪アクター、ひいては犯罪グループに紐づく可能性があると考えられます。
3. アクターグループの分析結果
2023年9月に当社で収集した偽ショッピングサイト35,825件 (5,282ドメイン) を、上記で示した特徴を使い、代表的なオープンソースインテリジェンス(OSINT)ツールであるPaterva社のMaltegoを用いて可視化することで分析を行いました。分析には以下の要素を用いました。
- 偽ショッピングサイトのドメイン
- FSグループ番号 (SEOマルウェアの返す転送コンテンツの特徴を示すID番号)
- 連絡先メールアドレスのドメイン
- Matomoサーバのドメイン
- 偽ショッピングサイトに特徴的な文言
ここでは中心ノードを偽ショッピングサイトのドメインとし、周囲にそれ以外の要素を接続しました。そして他の偽ショッピングサイトと各要素がどのように共有されているかをグラフにすることで可視化しました。
Maltegoによる可視化を行った結果を以下に示します。大きく3つのグループを見出すことができました。なお、グループ2, 3 はさらにその子グループが複数ある可能性が考えられるような可視化結果になりました。また、これらのグループ間には薄いつながりがあります。
グループの詳細を分析したところ、表 1に示す結果が得られました。グループ2は他のグループと切り分けられる特徴的な文言はありませんでした。また、グループ3は1942件のドメイン(約68%)でMatomoを使っていました。
なお、SEOマルウェアのC2サーバを動作させているサーバについて、そのIPアドレスが特定のホスティング業者(偽ショッピングサイトと同じ)に偏っていることが他ベンダのレポートで指摘されています。我々の調査でも同様の偏りが見られており、今回の分析に使うことができないか検討しました。しかし、収集した偽ショッピングサイトは関連するSEOマルウェアのC2サーバが不明なものが多かったため、今回の分類には使用しませんでした。また、FSグループ番号を用いることによってC2サーバと偽ショッピングサイトの関連性を示していると考えています。
ここまででユーザを検索結果から偽ショッピングサイトへ誘導する犯罪グループのグルーピングを行ってきました。結果、当初の転送コンテンツの分析では135種あったグループを、誘導先偽ショッピングサイト自体の特徴を加えて分析することにより、大きく3つのグループに分類することができました。そこで、当社のスマートプロテクションネットワーク (SPN)で2023年9月に観測した、各グループに帰属する偽ショッピングサイトへアクセスした端末の数、および観測されたサイト数を以下の表に示します。
この結果からは、グループ1、3によって構築された偽ショッピングサイトを閲覧したユーザの数が多いことが推測されます。一方で、グループ2は比較的小規模であるように見られました。
4. アクターグループごとの決済手口の特徴
調査の結果、これらの犯罪グループが運用している偽ショッピングサイトでは、注文処理の際に被害者を誘導するための様々な手口が観測されました。具体的には大きく分けて以下の3通りが観測されています。
- 手口(1): ショッピングサイトとは関連がないと見られる個人の銀行口座への振り込みを指示してくるパターン
- 手口(2): 正規の決済代行サービスを使い、決済するよう指示してくるパターン (実際には大手通販サイトからの注文を決済する形になっている)
- 手口(3): 注文時にクレジットカード番号を入力させ、実際には口座振り込みを指示してくるパターン
このうち、手口(2)についてはグループ1でのみ観測されています。グループ2とグループ3の多くのケースでは手口(1)が観測されましたが、手口(3)を使う場合もありました。
また、最近では、被害者に対してさらにペイメントアプリを用いた返金を持ちかけ、言葉巧みに高額な送金をさせる多重詐欺を行ってくるケースが発生しており、ペイメントアプリやフリーマーケットアプリ、および国民生活センターからも注意喚起が発出されています。我々のリサーチではこれらは本リサーチで対象としている犯罪グループに関連している可能性を考えているものの、どのグループに帰属する手口かは判明していません。
さらに、今回のリサーチの対象とは異なるものの、各種SNSに広告を出し悪質なショッピングサイトへ誘導を行うグループや、大手企業に似せた名称のドメインを使うことであたかもその企業が運営しているショッピングサイトであるかのように見せかける偽ショッピングサイトも発見されています。今回のリサーチで判明した犯罪グループと、このような別の手口を使う犯罪グループの関連性については明らかになっていません。
被害にあわないためには
偽ショッピングサイトの可能性を考え、利用者は検索エンジンで商品の購入を目的とした検索を行う際、および、初めて使うショッピングサイトで商品を購入する際には十分注意する必要があります。具体的には、以下のような確認をして自衛することが有効です。
- URLを確認し、あまり使われないドメイン名であるなど、不審な点はないか
- その商品の一般的な相場と比べて不自然に安価でないか
- 大手ショッピングサイトで売っているのを見かけないレアな商品が、割引されて売っていたりしないか
- 大手ショッピングサイトでないのに大量、多様な商品を扱っていないか
- 大手のブランドを騙っていたりしないか
- 会社情報、所在地を確認し、これらをキーにして再度検索して不審な結果がないか
攻撃者の手口として、一般のWebサイトを改ざんし、SEOマルウェアを設置してSEOポイズニングの踏み台とすることが分かっています。これに対しWebサイト管理者は、自身の管理するWebサイトが改ざんされ踏み台となることを防止するため、Webサイトのセキュリティ対策をしっかり行っておくことが必須です。
具体的には、サーバソフトウェア、CMS等のWebアプリケーション、および各種プラグイン、といったソフトウェアの脆弱性を放置しないようにすることが重要です。もちろん、管理者のパスワードを強固にしておくことや、管理画面へのアクセス元IPアドレスを制限したりしておくことも必要です。
トレンドマイクロの技術的対策
本記事内で言及した偽ショッピングサイトのような不正サイトについて、トレンドマイクロの「Webレピュテーション(WRS)」技術により偽ショッピングサイトと確認したサイトへのアクセスをブロックすることで、利用者を保護します。
Webサイトの改ざんについて、統合型サーバセキュリティソリューション「Trend Micro Deep Security™」では、仮想パッチ機能によって、未更新の脆弱性を狙う攻撃からサーバを防御します。また、変更監視機能やセキュリティログ監視機能で予期しないシステム変更を警告することにより、サーバ上で行われる不審な活動を早期に検出・対応することが可能です。
最後に、トレンドマイクロはJC3をはじめとした様々な組織と緊密に協力して偽ショッピングサイトによる被害の対策に取り組んでいます。これからも偽ショッピングサイトによる被害の撲滅を目指して様々な取り組みを推進していきます。
今回の記事に関連するIoC情報は、こちらをご参照ください。