サイバー犯罪
ソーシャルメディアアカウントの自動作成サービスを提供するKopeechkaの悪用がサイバー犯罪を助長
Instagram、Telegram、Facebook、X(旧Twitter)などのアカウント登録サービスを提供する「Kopeechka」の機能が、不正な行為を目的としたアカウントの作成に利用される際の技術的な特徴について解説します。
詐欺グループは常に技術力を向上させています。そのため、近年サイバー犯罪者の専門性が高まっています。また、攻撃時における重大なミスを減らすための対策も既に講じています。さらに、攻撃者を支援するさまざまな「as a Service」型ビジネスモデルの構築により、高い技術力を有しない攻撃者であっても完全なサイバー犯罪を実行することが可能となりました。
サービス化されたサイバー犯罪には、さまざまな種類が存在します。一例として、サービスとしてのマルウェア「Malware as a Service」では、サイバー犯罪者がマルウェアを開発し、攻撃者に販売します。なお、このサービスには、不正アクセスを受けたホスト上でランサムウェアなどのマルウェアを作成し、拡散することも含まれます。
一方で、偽情報、スパム、マルウェアの拡散などのために、複数のソーシャルメディアアカウントを使用するサービスも存在します。実際、サイバー犯罪者が多数のソーシャルメディアアカウントを介して、数千通のスパムメッセージを送信することも珍しくありません。
トレンドマイクロは、サイバー犯罪を助長するサービスKopeechkaを確認しました。Kopeechkaは、ソーシャルメディアアカウントを経由した大量のスパム送信を支援するサービスです。しかしながら、現段階では必ずしも違法ではありません。なお、ロシア語の kopeechka は、小銭(Penny)を意味します。
Kopeechkaは、Instagram、Telegram、Facebook、X(旧Twitter)などの人気ソーシャルメディアプラットフォームのアカウント登録サービスを2019年初めから提供しています。また、未成年者向けチャットサイトへの登録もKopeechkaを利用することで可能になります。
本稿では、Kopeechkaが有する機能や提供するサービスの特徴について技術的側面から解説します。
アカウント作成時のセキュリティ保護
多くのサイバー犯罪者が不法行為を目的としてソーシャルメディアアカウントを作成しているため、各運営企業は不正アカウントの作成を阻止することで、攻撃者が関与するリスクを最小限に抑える取り組みを進めています。この取り組みの一環として、まず、各企業はアカウント作成時のセキュリティを強化するために、積極的な措置を講じています。
不正アカウント作成からプラットフォームを守るために、さまざまなセキュリティ対策が存在します。
- メールアドレス認証:登録時、ユーザは使用するメールアドレスが存在することを証明する必要があります。これは通常、確認コードを用いて行われます。まず、ユーザは、電子メールによりURLまたは確認コードを受信します。ユーザが該当するリンクを選択するか表示されたコードを入力するとアカウントが認証されます。
- 電話番号認証:この認証の目的は、ソーシャルメディアプラットフォームによって認証可能な実際の電話番号をユーザが取得しているか否かを確認することです。通常、ユーザは確認コードをテキストメッセージにより受信します。
- CAPTCHAによる保護:CAPTCHAにはさまざまな種類が存在しますが、その目的はユーザがボットではなく生身の人間であることを確認することです。ユーザは自動ソルバーでは答えられない質問に回答する必要があります。
- IPレピュテーション:この認証の目的は、ユーザのIPアドレスがクリーンであることを確認することです。また、同時にプロキシ、VPN(仮想プライベートネットワーク)、その他の匿名化ソリューション使用の有無も確認します。
標的とするプラットフォームにより異なりますが、サイバー犯罪者が自らアカウントを作成するためには、固有のメールアドレス、電話番号、正規のIPアドレスが通常必要となります。
多くのソーシャルメディアプラットフォームは、サイバー犯罪者による登録を阻止するためにCAPTCHAを使用しています。しかし、CAPTCHA回避可能な自動化されたサービスが既に存在するため、当機能は犯罪者にとって大きな障害にはなりません。また、サイバー犯罪者は、レジデンシャルプロキシ(住宅用プロキシ)を使用することでセキュリティ対策を回避することができるためIPアドレスチェックサービスも同様に犯罪者にとって障害とはなりません。
サイバー犯罪者は、自動化スクリプトを使用することでCAPTCHAおよびIPレピュテーションチェックツールを回避することができます。しかし、作成するアカウントごとに有効なメールアドレスと電話番号は引き続き必要となります。そこで、Kopeechkaに対する需要が生じます。
Kopeechkaが提供するサービス
Kopeechkaは、電子メールの受信トレイへのアクセスは提供しません。その代わりとして、ソーシャルメディアプラットフォームから受信した認証コードを提供します。このサービスでは、Kopeechkaによりメールアカウントが管理され、第三者が関与できない設計が施されています。
Kopeechkaは、二種類の電子メールを提供しています。一つは、独自のドメインを使用したメールアドレスです。そして、もう一方は、一般的なメールホスティングサービスを利用したメールアドレスです。
Kopeechkaは、保有中の有効な電子メール数を表示しています(表1)。興味深いことに、大半はマイクロソフト関連のHotmailとOutlookが占めています。
これらのメールアドレスは、Kopeechkaにより作成されたか、あるいは不正アクセスを受けた電子メールに関連していると推測されます。その理由として、アンダーグラウンドコミュニティの「Compromised Email(不正アクセスを受けた電子メール)」スレッドにおいて、Kopeechkaによる投稿が確認されているためです。また、Kopeechkaはメールアカウントの購入も行っています(図1)。
さらに、当サービスは、2023年10月時点で39の異なるドメインを用いたメールアドレスを提供していることが明らかになりました。
Kopeechkaの保有するドメイン(図2)と人気の高い一般ドメイン(表1)の価格設定は異なります。2023年10月時点において、後者(RUB1またはUSD0.01)は、前者(RUB0.05またはUSD0.0005)よりも高額に設定されています。
Kopeechkaの機能
Kopeechkaは、WebインターフェイスとAPIの両機能を顧客に提供しています。
Webインターフェイスは、ユーザが購入したメールアドレスを用いて簡単にソーシャルメディアアカウントを作成することを可能にします。また、APIは、複数のソーシャルメディアアカウントを自動で作成することを容易にします。
また、現時点で無名のソーシャルメディアプラットフォームに関しても、KopeechkaのAPIは対応可能です。
これらのプロセスはすべて完全に自動化できるため、サイバー犯罪者はKopeechkaのアカウントに十分な資金がある限り、わずか数秒で数百以上のアカウントを作成することが可能となります。
受信トレイへのアクセスは不可
Kopeechkaは、実際の受信トレイへのアクセスは提供していません。ユーザがソーシャルメディアアカウントを作成するために受信トレイへのアクセスを要求した場合には、メールアドレスのリファレンスと確認コードまたはURLを含む特定の電子メールのみを受け取ります。Kopeechkaは、一つのメールアドレスを複数のソーシャルメディアプラットフォームの登録に使用するため、このプロセスはKopeechkaにとって非常に重要となります(図5)。
SMSの活用
多くのソーシャルメディアプラットフォームは、アカウント認証のために電話番号を登録する必要があります。電話番号は、確認コードを含むテキストメッセージを送信するために使用されます。登録時には、ユーザがプラットフォーム上で確認コードを入力する必要があります。
この電話番号による認証に対処するため、Kopeechkaは16種類のオンラインSMSサービスから選択できる仕組みを導入しています。また、Kopeechkaは、各サービスの説明や仕組みについてチュートリアル動画を提供しています。
Kopeechkaのマーケティングとカスタマーサービス
Kopeechkaは、サービスを宣伝するだけでなく、常にユーザとコミュニケーションを図っています。また、サービスに関するあらゆる事柄(ネットワーク上の問題やバグの通知等)の透明性を確保することで、顧客の信頼を得ています。さらに、Kopeechkaは、顧客に対しアドバイス、完全なチュートリアル、そして補償も提供しています。
Kopeechkaは、最近修正されたバグについて顧客と連絡を取り、損失に対する補償を提供する意思を示しています(下記参照)。
Bad news
Unfortunately, we had a serious bug that allowed us to re?over accounts instagram.com people they didn't belong to.
-The bug was in the SENDER parameter when ordering a letter.
We created this parameter a long time ago so that customers could receive emails from sites whose sender does not match the URL itself. At that time, we could not have thought that someone would look for vulnerabilities in the parameters and select them for abuse.
-We fixed this bug.
The sender time parameter will not affect anything at all, because whatever you enter into it, the service will see NULL.
-We apologize to those who have lost their instagram accounts.
If you are one, write to support [https:// t.me/{Telegram shortcut}. All cases will be considered individually, compensation for your losses is possible.
-Lossess from other sites have been noticed. The bug is completely fixed, such situations will not happen again.
Kopeechkaは、プロフェッショナルなアプローチにより顧客とのコミュニケーションを図っています。そのアプローチの一環として、営業、マーケティング、プロジェクトを管理するために顧客関係管理(CRM)ツール「Bitrix24」を使用していると推測されます。当ツールは、顧客ごとに一つのサブドメインを使用していますが、少なくとも2019年からアクティブな以下のサブドメインが確認されているためです。
kopeechkastore.bitrix24.ru
さらに、Kopeechkaは、オンラインビデオ、よくある質問(FAQ)、そして、サービスを紹介する専用のページも提供しています。これらは、内部のインターフェイスからのみアクセス可能であるため、顧客にとって隠れた魅力でもあります。加えて、カスタマートレーニングセンターも存在します。ここでは、アカウント作成やロギング技術のテストなど、顧客は無料でKopeechkaが提供するサービスを試すことができます。
Kopeechkaは、正規表現(Regular Expression)テスト用プラットフォームも提供しています。このプラットフォームでは、Kopeechkaが「現時点で未確認あるいは未対応のフォーマット」に基づくサービスに対する需要が将来生じた際に備えて、電子メールにおける文字列のマッチングを改善しています。
他のオンラインサービスとの連携
Kopeechka は、アカウント登録プロセスを自動化したいがAPIを扱う技術力を有しないユーザに対して「ZennoPoster」を使用することを勧めています。ZennoPosterは、ロシアのサードパーティサービス(2011年より提供)です。なお、このWebタスク自動化ツールは、Mikhail Evgenievich Kulikovという人物が所有者であると推測されています。
ZennoPosterは、ブラウザ上で次々とアクションを実行するスクリプトのように動作することで、ユーザがアクションを自動的に実行することを可能とします。Kopeechkaのユーザは、このツールをアカウントの自動登録システムとして利用することができます。
ZennoPosterとKopeechkaを併用したソーシャルメディアアカウントの登録方法について解説するオンライントピックが複数存在します。その一例として、ロシアの出会い系サイトmylove.ruのアカウント登録方法に関連したトピックがあります。
ZennoPosterのメーカーであるZennoLabは、ソーシャルメディアプラットフォームやオンラインWebサイトとのインタラクションに関連する自動化タスクを販売しています。販売中の自動化タスクの一つは、X(旧ツイッター)用のスクリプトです。これは、Xのアカウントを経由して、フォロワー全員にメッセージを送信することを可能とします。なお、当スクリプトはスパム送信のために悪用される恐れがあります。
また、ZennoLabは、CAPTCHA認証やプロキシの検索またはチェックを行うサービスも提供しています。
なお、Kopeechkaは5%の返金を実施することで、ユーザにCAPTCHA解決サービス「RuCaptcha」の利用を推奨しています。
さらに、Kopeechkaは、開発者とユーザ向けのアフィリエイトプログラムも提供しています。Kopeechka APIをソフトウェアに使用する開発者は、売上の10%を得ることができます。一方で、Kopeechkaを使用する新たな顧客をアフィリエイトリンク経由で紹介したユーザには、各新規ユーザがKopeechkaで費やす金額の10%を得ることができます。また、電子メールをアップロードしたユーザは、その電子メールに関連した売上の一定割合を得ることができます。
アンダーグラウンドフォーラムにおけるKopeechkaの活動
サービスの宣伝
2019年2月の創設以来、Kopeechkaは、常に提供するサービスの宣伝活動を行ってきました。アップデートを実施するたびに、Kopeechkaは、サイバー犯罪者用フォーラムの広告スレッドを更新しています。
これまでに、Kopeechkaは、ロシア語のテレグラムチャンネルにおいて約1,000人、英語版においては約440人の購読者を獲得しています。
エクスプロイト
Koppechkaは、サイバー犯罪者用アンダーグラウンドフォーラムにおけるサービスの宣伝以外にも、エクスプロイトの発見に関心を示しています。複数のフォーラムにおいて、エクスプロイトの使用やアカウントへの侵入方法に関心を示す「Kopeechkaの名称を用いたプロフィール」が確認されています。これらのフォーラムではスレッドに返信した人物のみに対し、脅威アクターはコンテンツを共有します。そのため、Kopeechkaが関心を示している事柄を容易に特定することが可能となります。また、Kopeechkaは、これらのフォーラムで宣伝されている製品やサービスについて質問することもあります。
2022年6月、あるエクスプロイト(Gmailの認証をバイパスできると主張)に関連する広告がフォーラムに投稿されました。2023年3月、Kopeechkaと名乗るユーザが、このエクスプロイトについて質問し、未だに認証のバイパスは有効であるか確認を行いました。
別のフォーラムでは、Kopeechkaと名乗るユーザが、ソーシャルメディアアカウント(Spotify、Netflix、Steamを含む)のクラッキングに関するスレッドに返信しています。また、このユーザは「Black Bullet」の使用方法やWebサイトテストツール「OpenBullet」に関するスレッドにも返信しています。なお、OpenBulletを悪用した攻撃の手口については、トレンドマイクロのセキュリティブログをご参照ください。
2020年、Kopeechkaは「a batch of documents, not for widespread use, with a protection(一定水準で保護された限定的な範囲で使用されるドキュメント)」の作成支援を求める投稿を行いました。彼らがどのような書類を作成しようと試みたか推測することは容易ではありません。しかし、この依頼の背後に存在する真の目的は、サービスプロバイダーや行政が要求する条件に適合する偽の書類を提出することであったと考えられます。
Kopeechkaの利用方法
Kopeechkaは、アカウント登録が要求されるあらゆるサービスに利用可能です。
最近の大規模な暗号資産詐欺を調査中に、Mastodon(マストドン)のソーシャルネットワークが悪用され、突如として何百もの新アカウントが偽の暗号資産サイトを宣伝するために作成されたことが判明しました。Brian Krebs氏は、Mastodonのアカウントを大量に登録するためにKopeechkaのサービスを利用した手口を2023年初めに解説しました。
ボットもKopeechkaを使用することで簡単にアカウントを作成することができます。トレンドマイクロは、Kopeechka APIを使用することで、ソーシャルメディアアカウント(Discord、Telegram、Roblox等)の作成を可能とするコードを確認しました。
さらに、VirusTotalのアカウントを作成するために使用可能なPythonスクリプトが発見されました。ユーザは、マルウェアの検出をテストするために、これらのアカウント登録を行っていると推測されます。
Kopeechkaがサイバー犯罪者から人気を集めている理由として、長年にわたる信頼を挙げることができます。彼らは、Kopeechkaが信頼の置ける製品やサービスを提供していると考えているようです。
公式のKopeechka APIは公開されているため、あらゆるコードを組み込むことができます。そのため、Python Package Index (PyPI)、NuGet、GitHub、npmなど、多くの開発用プラットフォームにもKopeechkaは対応することができます。
まとめ
Kopeechkaのサービスは、オンラインで手頃かつ簡単にアカウントを大量に作成する手段であるため、サイバー犯罪者にとって大きな利用価値があります。Kopeechkaの顧客は、SMSや電子メールによる認証の手間をかけることなく、簡単に大量のアカウントを作成できるため、このサービスを利用しています。
Kopeechkaは、主に複数のアカウントを作成するために利用されますが、この用途以外にも、匿名性を維持しながら活動するサイバー犯罪者が利用することもあります。これは、Kopeechkaを介することで、ソーシャルメディアプラットフォームのアカウント作成時に、サイバー犯罪者自身の電子メールアドレスを使用する必要がなくなるためです。
Kopeechkaに関連した問題は、電子メールのサービスプロバイダーがアカウント登録プロセスの強化に共同で取り組むことによってのみ解決することができます。今後、人工知能を利用することで、自動化されたアカウント登録プロセスを検出する手段が確立される可能性もあります。
参考記事
How Kopeechka, an Automated Social Media Accounts Creation Service, Can Facilitate Cybercrime
By: Cedric Pernet
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)