※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。
これまでのフィッシングは、偽メールの作りが粗く、誤字の目立つ偽ドメインも多く、被害が一部にとどまることが少なくありませんでした。
ところが、PhaaS(Phishing-as-a-Service:フィッシング アズ ア サービス)の登場で状況が一変しました。少額の利用料で既製のフィッシングキットを使い、本物そっくりの Microsoft 365 ログインページを用意し、短時間で認証情報の窃取に着手できます。高度な技術がなくても実行できる点が、拡大の要因になっています。
RaccoonO365 は、その典型例です。2024年7月以降、このキットにより少なくとも94か国で5,000件の Microsoft 資格情報が窃取されました。医療機関も標的となり、悪用されれば患者の安全や診療に悪影響が及ぶおそれがあります。運営は Telegram を通じて行われ、メンバーは800人超、受け取った暗号資産は少なくとも10万米ドルと報告されています。
先月、Microsoft はHealth-ISAC、Cloudflare、などのパートナーと連携し、RaccoonO365 に関係する338件のドメインを民事手続に基づき差し押さえるなど、法的・技術的な措置を講じました。これにより、攻撃者側の主要インフラに打撃を与えることができました。報道ではドメイン差押えとインフラの解体が強調されています。一方で、Chainalysis Reactorを用いた取引追跡が証拠の裏付けに資し、民事による差押えの実行を支えた側面もあります。
ブロックチェーン上の支払い記録
フィッシングキットを購入すると、ブロックチェーン上に取引記録が残ります。これらの記録は、運営者の活動拡大を評価する際の指標の一つとなり得ます。
Microsoft の Digital Crimes Unit(DCU)の捜査官は、フィッシングキットを試験的に購入し、実際の動きの確認を目的とした送信テストを段階的に実施しました。
「あるキットでは、代金支払い後に運営者からチップを求められました」と捜査官は振り返ります。違法な取引でありながら、日常の商取引に似たやり取りが行われている実情がうかがえます。
サービス運営者の一度の誤りが決定的な手がかりに
やり取りの途中、相手方は最初に Tron(USDT)のウォレットアドレスを示しましたが、誤りに気づき Ethereum のアドレスを送り直しました。この切り替えにより、両アドレスの関連が見え、特定に向けた重要な手がかりとなりました。
このトランザクションが、RaccoonO365と既知のインフラや特定の利用者との関連を示す突破口となりました。
資金の流れを可視化
本件は、Microsoft の DCU にとって節目となる事案でした。Reactor により、クロスチェーンの資金移動(トランザクション)を法廷提出を想定した時系列で整理し、複雑なスキームも関係者が追いやすい形で可視化できました。
「本件では、暗号資産のトレーシングが不正行為を特定の個人へ結びつける上で極めて重要な役割を果たしました。Chainalysis Reactor のようなツールを活用し、パターンを解明するとともに、攻撃者が犯罪収益を送った取引所を特定しました。」— Maurice Mason, Principal Cybercrime Investigator, Microsoft DCU
サービス化するサイバー犯罪(PhaaS)
RaccoonO365 は、PhaaS 型のサイバー犯罪の一例です。既製のフィッシングキットが広く流通し、国境を越えて拡大しやすく、専門知識がなくても扱えるよう提供されています。
今回の官民連携では、産業界・政府・技術パートナーが連携し、数千人に被害が及んだ脅威に対して、停止や拡大抑止を狙った対応が進められました。
Microsoft の DCU は次のように述べています。
「官民連携は不可欠です。力を合わせ、知見を共有することで、犯行に使われたツールの機能を抑え込み、より広い生態系への悪影響の拡大を防ぎやすくなります。」
補足情報は、Microsoft DCU 担当者のインタビュー記事および公開訴訟資料 (こちら)をご参照ください。
Reactor:ブロックチェーン捜査の業界標準を牽引する次世代モデルへ
Reactor は 10 年前の提供開始以来、暗号資産に関する初動捜査を可能にしてきました。現在は状況が大きく変わり、犯罪の手口は短時間で規模を拡大し、資金のやり取りは数秒で別のブロックチェーンへ移され、捜査員は限られた人員や時間のなかで増え続ける案件に向き合っています。
そこで、Reactor を大幅に更新し、捜査支援システムとして次世代水準へ引き上げました。新しい手口にも対応できるよう、機能と性能の改善を継続しています。
- 明確性 — 複雑なトランザクションが絡む事案でも、グラフで資金の流れと関係を一目で把握しやすくなります。
- 柔軟性 — 事案や読み手に合わせてグラフを調整できます。
- スピード — ブロックチェーンをまたぐ取引(クロスチェーン)についても、広範なデータに基づく迅速な追跡を支援します。
- 実効性 — 事件の早期解決を後押しし、犯行の先手を取ります。
Chainalysis の捜査ソリューションの中核として、Reactor は世界で1,500社以上に利用されています。今回の RaccoonO365 の事案で示されたように、世界の捜査現場での脅威アクターの特定と利用者保護を支えます。さらに、グローバルなパートナーシップを活かし、ブロックチェーン分析の知見を結集し、被害の最小化と適正な法執行に貢献します。
既存のお客様はログインのうえ、更新内容をご確認ください。導入をご検討の方は、こちらよりデモをご依頼ください。
This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively “Chainalysis”). Access to such information does not imply association with, endorsement of, approval of, or recommendation by Chainalysis of the site or its operators, and Chainalysis is not responsible for the products, services, or other content hosted therein.
This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with Recipient’s use of this material.
Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.