サイバー脅威
2022 FIFAワールドカップのサイバーリスク軽減を目的としたトレンドマイクロとインターポールの連携
2022 FIFAワールドカップで横行したサイバー空間における詐欺行為について、トレンドマイクロでは脅威動向の監視や情報提供などにおいてインターポールと連携することでサイバー犯罪のリスク軽減に貢献しました。
世界的なスポーツイベントであるFIFAワールドカップが2022年12月に終了し、世界中の数百万のファンがオンラインで多くのエンゲージメントを生み出しました。決勝戦での注目すべきPK戦は、同大会のクライマックスとして称賛され、ソーシャルメディアやヘッドラインニュースでトレンドトピックになりました。このイベントの前後、オンラインユーザは自分たちのお気に入りのチームに賭けて喜びを共有していましたが、同時にサイバー犯罪者もイベントを利用してスパム活動や詐欺行為を行っていました。これに対し、法執行機関、特にインターポールは、2022 FIFAワールドカップにまつわるサイバー脅威を監視し、あらゆる通報に備えるため、パートナーとの連携を強化する必要がありました。そこでトレンドマイクロは、グローバルレベルでの脅威動向を積極的に監視して同社のインテリジェンスを活かし、イベント前後に発生した多数の不正なウェブサイトや詐欺行為を明らかにしました。また、インターポールに情報を提供することで攻撃を防止し、このイベントにおけるサイバー犯罪のリスク軽減に貢献しました。さらに、これらのグローバル脅威に関するインテリジェンスを通じ、インターポールは、カタール政府と協力して、サイバー犯罪者や不正活動の攻撃者がスポーツイベントを妨害することを防止するため、カタール関連の不正サイトや不正ファイルの検出を監視しました。
顧客向けに検出・ブロックしているサイバー脅威の他にも、トレンドマイクロが今回インターポールに共有した様々なサイバー脅威について、より詳しく見てみましょう。
2022年に確認された不正なウェブサイト
トレンドマイクロでは、2022年を通じて、詐欺やフィッシングに関連する9,000件以上の不正なウェブサイトが、「FIFA」と「ワールドカップ」という英語のキーワードを含んでいたことが確認されました。最初の検知は2022年1月であり、最も検知された件数は、11月から12月にかけてのメインイベントの期間でした。国別に見ると、影響を受けた上位の国々は、アメリカ、日本、ブラジル、ドイツ、オーストラリアでした。イベントの終盤には、偽のライブストリーミングサイトがピークを迎えました。さらに、アンケート詐欺として、チケットやモバイルデータを提供する詐欺も確認されました。
偽チケット販売システム
数百万の潜在的な被害者を見込んで、2022 FIFAワールドカップの偽チケットを販売するサイトを作成し、フィッシング詐欺の手口によってユーザに個人情報やクレジットカード情報を入力させる活動が、サイバー犯罪者によって行われることが予想されます。例えば、トレンドマイクロは、以下のような不正サイトを確認しています。
- fifa-ticketssales[.]com
- prime-ticketssales[.]com
これらのサイトは、FIFAワールドカップのチケット販売ページを模倣しており、信じられないほど大量の販売済みチケットや残りの座席数が表示されています。また、表示されている電話番号やメールアドレスから、サイバー犯罪者の連絡先を特定することもできました。通常、これらの電話番号の一部は、他の詐欺サイトでも掲載されており、サイバー犯罪者が電話番号を再利用する典型的な手口となっています。
偽のライブストリーミング
サイバー犯罪者は、複数の偽のストリーミングサイトを作成し、被害者にクリックさせることで詐欺を行っています。トレンドマイクロによると、約40の固有ドメインがFIFAワールドカップの偽のストリーミングをホストしていることが特定されました。例えば、以下のようなサイトが挙げられます。
- fifa-ticketssales[.]com
- prime-ticketssales[.]com
- watchvsportstv[.]com/2022-FIFA-WORLD-CUP-FINAL
- sportshdlivetv[.]com/FIFA-WORLD-CUP-FINAL
- istream2watch[.]stream/video/fifa-world-cup
これらの偽のライブストリーミングページを分析した結果、ユーザは購読フォームやプレミアムアクセスがリクエストされるウェブサイトにリダイレクトされ、支払いをするよう誘導されます。検知された上位の国々には、ブラジル、フィリピン、マレーシアなどが含まれていました。
アンケート詐欺
アンケート詐欺は、サイバー犯罪者が昔から利用する手口のひとつとなっています。トレンドマイクロによると、確認された詐欺サイトや手口はニュースサイト「The Register」でも紹介されています。特にFIFAワールドカップ2022の準決勝や決勝戦が近づくにつれ、不正サイトで無料の50GBモバイルデータを提供するアンケート詐欺が増加していることが確認されました。トレンドマイクロでは、40件以上のIPアドレスやサーバを特定し、その大部分が中国人名で登録され、Google LLCによってホストされていたことを確認しました。アンケート詐欺では、ビデオの高速ストリーミングや無料のモバイルネットワークで50GBの無料モバイルデータが手に入るとユーザをだまし、電話番号や個人情報を入力させます。最終的に、被害者は知らずに料金が発生し、詐欺に引っかかったことを知らされません。今後、個人情報がスパムや詐欺に利用される可能性があります。多くの場合、ユーザは偽の出会い系サイトにリダイレクトされ、メールアドレスを要求されます。そして、提供された情報が他のスパム攻撃にも使用されることになります。
暗号資産詐欺と不正アプリについて
報道によると、今回のイベントを悪用した暗号資産詐欺の攻撃者も確認されたと伝えられています。トレンドマイクロでは、以下のような詐欺サイトが確認されました。
- fifa-ticketssales[.]com
- prime-ticketssales[.]com
- watchvsportstv[.]com/2022-FIFA-WORLD-CUP-FINAL
- sportshdlivetv[.]com/FIFA-WORLD-CUP-FINAL
- istream2watch[.]stream/video/fifa-world-cup
- cristiano-binance[.]xyz
- binance[.]supply
- football-blnance[.]com
- football-binance[.]com
- birance[.]online
- birance[.]site
- kora442[.]com
2299d4e4ba3e9c2643ee876bb45d6a976362ce3c
c66564b7f66f22ac9dd2e7a874c6874a5bb43a26
9c904c821edaff095e833ee342aedfcaac337e04
60b1da6905857073c4c46e7e964699d9c7a74ec7
パッケージ名とトレンドマイクロの検出名は、以下の通りとなります。
パッケージ名:com.app.projectappkora
検出名:AndroidOS_DummyColl.HRX
この不正アプリは、感染したデバイスから情報を窃取してコマンド&コントロール(C&C)サーバに送信します。
トレンドマイクロのミッションは、デジタルインフォメーションを安全に交換できる世界を実現することです。そのため、インターポールや2022 FIFAワールドカップの支援は、この使命を果たすための重要な機会となっています。トレンドマイクロは、サイバー犯罪者の捜査や世界的なスポーツイベントの支援を通じて、インターポールと継続的に協力することを誇りに思っています。
また、2024年にはパリオリンピックが予定されていることから、今年もイベントに便乗した詐欺行為が横行することが予想されますが、トレンドマイクロでは34年にわたる経験をもとに、新たな脅威や攻撃を積極的に特定してユーザを守る使命を継続し、法執行機関やイベント管理の組織とのさらなる協力を期待しています。
参考記事:
Trend Micro Defends FIFA World Cup from Cyber Threats
By: Jon Clay
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)