サイバー脅威
モロッコ地震に便乗してフランス赤十字社のドメインを偽装する新たな義援金詐欺
本稿では、モロッコ地震に便乗し、人道支援組織であるフランス赤十字社のドメインを偽装する義援金詐欺の手口について解説します。
攻撃者は、これまでも自然災害の発生を利用し、罪のない人々を食い物にしてきました。本稿では、モロッコで発生した地震に便乗し、「被災者を支援するため」と称して、救助資機材を購入させる詐欺の手口について解説します。
詐欺グループは、二つのドメインを登録しています。そして、そのうち一つは、フランス赤十字社(Croix Rouge Française)のドメインを偽装しています。
この義援金詐欺の発見により、関連するフィッシング攻撃の手口が明らかになりました。また、犯罪に迅速に対応するため、積極的かつ継続的なドメイン監視の重要性が改めて浮き彫りとなりました。
攻撃
フランス赤十字社は、国際赤十字と赤新月運動のフランス支部です。赤十字は、あらゆる状況下において生命と健康を守り、人間の尊重を確保することを目的とする人道支援組織です。現在、モロッコで実施している災害対応をはじめ、さまざまな活動を行っています。
一方で、詐欺グループは、モロッコ地震にちなんでウェブサイトを「AlerteSeisme(地震警報)」と名付けています。
まず、攻撃者は「croixrougefrancaise.fr」ドメインを登録しました。これは、別の「alerteseisme.fr」ドメインにリダイレクトする設定が施されています。
また、同一のユーザにより両ドメインが登録されていることも判明しました。なお、攻撃者によって提出されたパリの住所は実在しますが、400を超える他の企業も法人登記上、同じ住所を使用しています。さらに、攻撃者は、両ドメインの登録に同じ電子メールアドレスと電話番号を使用していました。
ウェブサイトの内容はシンプルであり、Shopifyを使用して作成されています。Shopifyとは、ユーザが自身のオンラインショップを運営できるプラットフォームです(図1)。
ユーザが選択できる商品は、「Fraternity Tent」一種類のみです。商品の説明欄には、読者の同情や哀れみを誘う文句が記載されています(図2)。また、ここで詐欺グループが使用した写真は、AliExpressの商品リストにも掲載されています。
Fraternity Tentが掲載されたウェブページの説明欄にある文章の訳は以下の通りです。
寝る場所もなく、子供たちを風雨から守るシェルターもない生活を想像してみてください。これが、この災害により被災した何千もの家族にとっての現実です。私たちが販売するテントを購入することで、被災した家族に安心した生活空間を提供することができます。
ユーザは、希望するテント数を買い物かごに入れた後、支払いに進みます。この段階で、当ウェブサイトは、クレジットカード情報、配送先住所、電子メールアドレスの入力を要求します(図3)。その結果、攻撃者がPII(個人識別情報)を入手することが可能となり、後に不正利用される恐れがあります。
さらに、ドメイン登録後、同じ日にフェイスブックのページも作成されていました。このフェイスブックページでは、ドメインへのリンクが提供されていることが判明しました。
このページは地震感知機について宣伝していますが、「注文ボタン」をクリックするとウェブサイト「alerteseisme.fr」のFraternity Tentのページへリダイレクトされます。
地震感知機や被災者用テントを販売しているように見せかけるなど、攻撃者がさまざまな手口でユーザを騙そうと試みていることが分かります。
また、このウェブサイトを運営している詐欺グループが、LinkedInで寄付金を募っていることをフランスのLinkedInユーザが発見しました。当ユーザが発見後即座に当該事実をLinkedInに報告した結果、ただちに必要な措置が講じられました。なお、この募金詐欺について、これ以上の情報は2023年9月時点において確認できていません。
「croixrougefrancaise.fr」ドメイン
このドメインは2023年9月に登録されましたが、過去に二度(2021年8月~2022年8月、2008年1月~2013年12月)使用されていたことが判明しました。
該当期間におけるドメインの使用状況を調査した結果、通常のドメインパーキングサイトが時折確認できたのみでした。また、フランス赤十字社に関連する証拠は発見できませんでした。なお、該当期間中「croixrougefrancaise.fr」ドメインは、電子メールとしても使用されていた可能性があります。
さらに、ドメインの登録に際し、フランス赤十字社の公式ウェブサイトへの言及も確認できませんでした。
ただし、フランス赤十字社により匿名で登録された正式なドメインである可能性も否定はできません。
トレンドマイクロは、寄付申請サイトとして「croixrougefrancaise.fr」が記載されているオンライン記事を発見しました。驚くべきことに、この記事は「croixrougefrancaise.fr」ドメインがまだ登録されていない段階で、すでに当ドメインを記載していました。幸いなことに、この記事に関連した詐欺事件は報告されていません。しかし、攻撃者はオンライン記事に記載されたドメインを容易に悪用することができるため、引き続き注意が必要です。
ドメイン監視の重要性
攻撃者は、常に攻撃の機会をうかがっています。そのため、企業や組織がドメインを適切に監視することは極めて重要です。セキュリティブログ「偽サイト」を阻止するには?:ゾーン監視で偽装ドメインの悪用を事前に発見」では、フィッシング攻撃を検出、阻止する方法について詳しく解説しています。 また、セキュリティブログ「すぐ役立つ!フィッシング詐欺を見抜くためのポイントとは?」の「フィッシングメールにだまされないための注意点」では、フィッシング攻撃を特定し、攻撃によるリスクを最小化する方法について解説しています。
本稿で取り上げた事例では、定評のある人道支援組織のドメインが、当該組織によって登録された形跡がないにもかかわらず、第三者により複数回登録されていました。
企業や組織は、ドメインを登録する際、常に「Whois情報」に定められた事項を登録することが重要です。その結果、インターネットユーザが公開されている情報を確認することが可能となり、正当なドメイン所有者であるか否かの判断を助けます。
特に、フランス赤十字社「Croix Rouge Francaise」のように組織の完全な名称が含まれるドメインは、確実に監視する必要があります。また、このようなドメインを所有する企業や組織は、対象となるドメインを適切に維持管理することが期待されます。さらに、ドメインの有効期限にも注意を払い、失効を回避することで、詐欺グループによる悪用を防止することができます。
以上より、一見すると正当なドメインであったとしても、災害時に使用される寄付申請サイトには常に注意が必要です。
不正な「croixrougefrancaise.fr」ドメインの登録について情報を提供してくれたRed Flag DomainsのNicolas Pawlak氏に感謝します。
参考記事
Cybercriminals Exploit the Moroccan Tragedy in New Scam Campaign
By: Cedric Pernet
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)"