【ケーススタディ】金融機関のフィッシングサイトを2日で無効化、永久アクセス不可能に - ROI 1034%の成功事例
2024年2月20日
以下の内容は2つのフィッシングサイトを停止させるまでの全過程をケーススタディとしてまとめたものです。この事例は、弊社フィッシングサイトテイクダウンサービスの1プロジェクトの成功事例です。
問題の概要をまとめると、クライアント企業(資本金数十億円規模の某国内金融機関)がフィッシング詐欺のターゲットとなり、2つのフィッシングサイトを設置され、結果顧客情報の流出やブランド毀損が発生する事態に至り、これらフィッシングサイトの迅速な停止が急がれ、弊社サービスに申し込み頂き、これらフィッシングサイトの「永久アクセス不可能化」を達成した、という流れです。
この事例を通して、フィッシング詐欺の手口、具体的な手法、その背後にある「世界観」、弊社サービスの効果とROI(1034%以上)、テイクダウンの全容と結果、について知ることができます。さらに、この事例を通して、フィッシング詐欺に対する知識をつけ、これから身を守るための知恵を得ることができます。
- プロジェクト概要
- 前提条件
- 結果
- 課題
- (1) フィッシングサイトの迅速な特定「2つの特定:所在地と正体」:フィッシングサイトがホスティングされている正確なホスティング元の特定が急務でした
- (2) セキュアなテイクダウンプロセス「2つの制約:法と倫理」:法的にも情報管理的にも安全でなければならない
- (3) 3ターン以内、「令状カード」発動前に決着をつけなければならない:「令状カード」を切られる前に、限られたターン数で説得を行う必要がありました
- (4) 完全単独オペレーション、情報はすべて現地調達
- 解決策
- 情報収集と分析
- 関係者との連携
- 成果
- 学んだ教訓
- 防ぐことができた被害と損失:ROI 1034% - 20000%以上
- 洞察:リソースドリブンな無差別攻撃
- www.gemini-a8.comによる詐欺行為と被害の概要
- 拡散のお願い - あなたの協力で広がるセキュリティ意識
- プロジェクト統計情報
- 著者情報
- 【最新のセキュリティ情報を今すぐ受け取る】
目次
プロジェクト概要
当社は、資本金数十億円を誇る国内金融機関から、ブランドを悪用したフィッシングサイトに対処する依頼を受けました。当社の目標は、この脅威を迅速に特定し、確実にテイクダウンすることでした。このプロジェクトは完全成功報酬制で行われ、公開情報とメールコミュニケーションのみを用いてサービス開始後わずか2日間で目標を達成しました。
前提条件
登場キャラクター(サイト)
(1)クライアント企業正規ウェブサイト(my-client.co.jp プライバシーを配慮し「仮名」です)(以下「正規サイト」とも呼ぶ)
(2)クライアント企業正規ウェブサイトのコピーサイト(my-client.com プライバシーを配慮し「仮名」です)(以下「コピーサイト」「フィッシングサイト」とも呼ぶ)
(3)クライアント企業正規口座サイト(以下「正規口座サイト」とも呼ぶ)
(4)フィッシングサイト www.gemini-a8.com(クライアント企業の口座サイトを装ったフィッシングサイト)(以下「フィッシングサイト gemini-a8.com」とも呼ぶ)
フィッシングサイト www.gemini-a8.comは多数の詐欺事案において度々利用されていることが報告されています。例えば、SNS経由での詐欺、投資詐欺、SNSロマンス詐欺、仮想通貨詐欺、そしてフィッシング詐欺などです。
本プロジェクトが扱ったフィッシングサイトは、類型としては、誘導サイト+犯行サイトの2段構成で、典型的なフィッシングサイトのパターンでした。具体的には、クライアントの正規ウェブサイトのほぼ完全なコピーサイトが作成され、これを誘導サイトとしたうえで、実際に個人情報の詐取を行う犯行サイトへの誘導を、CTAリンク(ログイン、会員登録などのユーザーにビジネスアクションを誘発するリンク)から行う、という構成です (以後「フィッシングパイプライン」とも呼びます) 。(誘導サイト、犯行サイトともに、弊社テイクダウンサービスの結果、ドメイン停止並びに運営停止しました)
画像:クライアント企業の正規ウェブサイト構成(上行)と、これを悪用したフィッシング業者による「フィッシングパイプライン」(下行)
より詳細に言うと、まずクライアント正規ウェブサイトの構成として、「正規サイト」があり、この正規サイトのCTAリンクの先に、正規口座サイトがあります。これはクライアント企業ウェブサイトの通常の健全な構成です。
ところがこの構成を悪用し、フィッシング業者がフィッシング詐欺を行うための構成を以下のように作りました。クライアント正規サイトの完全に近い「コピーサイト」を作り、そのCTAリンクの先に、個人情報の詐取を行うためのフィッシングサイト(www.gemini-a8.com)を設置するという構成です。 ここにおいて、クライアント企業の正規顧客が、実際の口座と間違えて個人情報を入力し、詐欺被害に遭うという事態が多発していました(しかし、弊社サービスの結果、この事態は現時点で完全に停止しています)。 それに加えネット上で、クライアント企業の口座を利用した結果詐欺にあった、と申告する投稿が多数出現し、さらには、クライアント企業を詐欺企業と誤認し、事実無根の糾弾を行う記事まで出現する事態となっていました。 おまけにコピーサイトは検索エンジンの上位にランキングしており、クライアント企業名で検索した際に、正規企業URLの次に表示されることもある事態となっていました。つまり、完全に正規のサイトの「海外法人」を装い、フィッシングサイト(www.gemini-a8.com)への誘導が公然と行われていたわけです。正規サイトドメインは「my-client.co.jp」(仮名)でコピーサイトは「my-client.com」(仮名)ですから、「.co.jp」と「.com」しか違いはなく、それ以外の要素はすべて同じなので、「海外法人版」と見れば何らの違和感もなく、非常に高い確率で騙されたと思います。
よって、迅速かつ決定的なフィッシングサイトの停止が急がれ、弊社フィッシングサイトテイクダウンサービスの依頼を頂く事になりました。
弊社が目標としたことは、フィッシングパイプラインの停止、であり、コピーサイトの迅速な停止、及び、フィッシングサイト(www.gemin-a8.com)の停止、の2つです。そしてこれを通して、クライアント企業のブランドに対するブランド毀損の迅速な停止、及びクライアント顧客の個人情報の保護、そしてひいてはクライアント企業のブランドの保護及びビジネスの安全の確保、です。
結果
弊社フィッシングサイトテイクダウンサービスの結果、コピーサイト及びフィッシングサイト(www.gemini-a8.com)のドメインは停止され、インターネット上でアクセスすることが不可能になりました。
両サイトのうち一方については、サービス提供後即日のドメイン停止が行われ、ドメイン伝播を考慮し、トータル2日でインターネット上で恒久的にアクセスできない状態を達成しました。最終的に現時点で両ドメインともにドメインの停止及び恒久的なアクセスの不可能性が達成されており、本プロジェクトが停止を目標とした「フィッシングパイプライン」は完全に停止する結果となりました。
これにより、クライアントのブランド並びに顧客情報の保全が十全に達成されました。これをKPI指標を用いて評価する場合、フィッシングパイプラインが以降も存続した場合の潜在的な経済的損失額を、保守的に見積もったとして500万円と見積もった場合、ROIにして1034%以上、となります(サービス提供時点サービス価格を前提として計算しています。)。つまり、サービス価格に対して10倍以上の価値をクライアント企業に提供できたことになります。しかしクライアント企業のブランド価値はプライスレスであり、それを保護できた事が本プロジェクトの最も評価されるべき点です。
フィッシングサイトwww.gemini-a8.comの稼働中当時の外見は以下のとおりです。
今現在以下のように停止しています。
コピーサイトの画像はクライアント企業名を随所に含むため、プライバシー保護の観点からお見せすることはできませんが、全く同様に停止しています(黒塗りも透過のリスクがあるため画像は未掲載とします)。
テイクダウンの結果は以下のイメージのようになります。
コピーサイト並びにフィッシングサイトはインターネット上から削除されました。
課題
(1) フィッシングサイトの迅速な特定「2つの特定:所在地と正体」:フィッシングサイトがホスティングされている正確なホスティング元の特定が急務でした
本プロジェクトのフィッシングサイトはプロキシで本来の所在地が隠蔽されていたため、実際の所在地の特定に応用的な手法が必要になりました。
ホスティング所在地、プロキシ所在地、運営者登録所在地、運営者実所在地、など複数国にまたがり、ジオロケーションの観点でもプロキシが張り巡らされていました。当然、法規制と言語の問題も多層化しています。
具体的には、A国に登記している法人をターゲットとしたフィッシングサイトが、B国にサーバーが実在するプロキシサービスによって隠蔽され、その実サーバーはB国にあるのだが、そのサーバーのドメインはC国の法人名義により登録され、その法人はD国に責任者がいると推定されるダミー法人であり、運営者の実際の所在地はD国であり、ドメインはB国で登録されている、そして主な詐取の対象はA国のユーザーである、という状況です(プライバシー保護のため、事実をマスキングしていますので、逆算しないで下さい。)。A国は日本です。
プロキシに加え、ダミー法人が関与していたことが特筆すべき点です。
犯行サイトは多数の詐欺事案において度々利用されています。例えば、SNS経由での詐欺、投資詐欺、仮想通貨詐欺、そしてフィッシング詐欺などです。
特定の法人を標的とするにとどまらず、私人を相手としたSNS詐欺や投資詐欺にも関与していることが報告されていることから、当該詐欺業者は頻繁かつ継続的に広範囲に対して詐欺を行っているエンティティであることがわかります。
調査の結果両サイトともに同一のエンティティにより運営されていることが判明しました。
これら事実から、その背後に国際的なフィッシング詐欺シンジケートの存在が推定されます。
(2) セキュアなテイクダウンプロセス「2つの制約:法と倫理」:法的にも情報管理的にも安全でなければならない
フィッシングサイトテイクダウンのプロセスは当然ですが全て法的枠組みの範囲内で行われる必要があり、取りうる手段は全て法的に正当なものである必要があります。
またテイクダウンプロセスにおいて顧客情報の適切な管理がなければ二次被害となるため、この意味での安全性を保った行動が求められました。
(3) 3ターン以内、「令状カード」発動前に決着をつけなければならない:「令状カード」を切られる前に、限られたターン数で説得を行う必要がありました
ホスティングプロバイダーとのやり取りでは、非常に少ないターン数で説得を成功させる必要があります。ターン数が増えると、対応率が下がるためであることに加え、裁判所令状(現地国)がなければこれ以上できないという「令状カード」を切られる前に決定的な納得を作る必要があります。よって事前の証拠集めとその質が非常に重要になります。本プロジェクトでは、1ターンでテイクダウンを決めさせることができましたが、それは非常に質の高い証拠を集めることができたことに起因します。完全初対面、口添えなしでの接見、メール1通で即日テイクダウンを可能にしたのは、証拠と説得の質でした。
今回のケースでは、1ターンで令状カードを切られました。
(4) 完全単独オペレーション、情報はすべて現地調達
本プロジェクトの遂行に当たり社外からの支援は一切無く、プロジェクトは発案、計画、実行、管理、事後処理に至るまで、当社単独で達成されました。
必要情報も外部から提供を受けることは一切できず、テイクダウンに必要な情報は全て自社で獲得する必要がありました。
クライアントからの情報提供も一切ない状態であったため、文字通り、全ての情報をゼロから自社単独で自力で獲得する必要がありました。
解決策
情報収集と分析
公開情報を徹底的に調査し、フィッシングサイトの特定に成功しました。このプロセスは、デジタルフォレンジックの技法とデジタルプロファイリングを始めとするテイクダウン戦術により達成されました。
関係者との連携
サイトのテイクダウンに必要な関係者とのコミュニケーションは、メールを通じて効率的に行いました。この連携により、迅速かつ効果的なテイクダウンプロセスを実行しました。
成果
テイクダウンの成功
サービス開始からわずか2日(ドメイン停止は即日)[1]で、フィッシングサイトは安全に無効化されました。この迅速な対応は、クライアントのブランドとその顧客の安全を確実に守ることに直結しました。
クライアントの信頼獲得
完全成功報酬制の下でのこの卓越した成功は、当社の専門性と信頼性をクライアントに強力に証明しました。
[1]ドメイン停止自体は即日ですが、ドメイン伝搬(24-48h)を考慮し公式記録は2日としています。
学んだ教訓
このプロジェクトを通じて、公開情報と効果的なコミュニケーションが、フィッシングサイトのテイクダウンにおいていかに強力な武器となるかを学びました。また、柔軟性と迅速な対応が、セキュリティ脅威に立ち向かう上で不可欠であることが再確認されました。
防ぐことができた被害と損失:ROI 1034% - 20000%以上
クライアントが金融機関であり、フィッシングサイトを作られたウェブサイトは多数の金融取引を扱っていたため、フィッシングサイトが放置された場合、多大な損失が発生する恐れがありました。さらに、クライアント顧客がフィッシングサイトに個人情報を入力することで、機密情報の漏洩が多発する恐れがありました。このため迅速かつ確実なフィッシングサイトのテイクダウンが急務でした。
サービス開始後わずか2日でのテイクダウンの確証により、これ以上の被害拡大を止めることに成功しました。さらに、フィッシングサイトの運営を行っていると思われるエンティティについての情報を関係機関に提供することにより、類似の行為が拡大することを根本的に抑止しました。(これに加え、フィッシングサイト(www.gemini-a8.com)はSNSやマッチングアプリなどの複数のチャネルを経由した詐欺に用いられていたため、その拡散性の高さ故に被害額も甚大になることを鑑みると、膨大な額の損害を防いだ可能性が高いと言えます。)
クライアント企業に発生した損失額と、フィッシングサイトが私人に対して与えたであろう損失額を合わせると、数千万円から一億円を超える可能性もあります。法的措置の費用、情報漏洩による顧客離れの問題、風評被害の問題、逸失利益の問題などがクライアント企業にとって発生し得るコストです。SNSなどによる投資詐欺などの私人を相手とした詐欺において、入金を強要された場合の損失額が、数百万円から数千万円、場合によっては一億円に及ぶことを考えると、フィッシングサイトwww.gemini-a8.comにリンクされた無数の詐欺手段(各被害者とのやり取りの数)の数 x 平均損失額が、私人を相手とした詐欺において防いだ金額となります。
言い換えると、1クライアント企業の潜在的損失額と、2私人を相手とした詐欺の潜在的損失額、この2つ合計額が、本プロジェクトの結果防ぐことができた損失額となります。よって、クライアント企業の潜在的損失額を、数千万円と見積もり、私人を相手とした詐欺の損失額を数千万円と見積もった場合、防ぐことができた損失額は一億円を超える可能性が高い、と判断できます。ROIを算出する場合、20000%以上、となります。
IBM cost of data breachによると、フィッシング詐欺をはじめとするサイバー攻撃によって法人が受ける経済的損失額は、2023年時点の世界全体の平均で年間約500万ドル(USD 4.45 million)以上になる、と言われており、これは日本円換算(1ドル145円を前提)で6億5千万円です。
近年悪化が著しい、SNSやマッチングアプリを経由した投資詐欺の被害額は、多いもので5000万から1億円近くになります。これは、加害者と被害額の1やり取り(フィッシング詐欺の場合1リンク)が発生させる損失額です。(あくまでここで述べる損失額合計は見積もりであり、実際の額は実際の被害者の損失額を元に決定されるべきです。よって、あくまで一般的傾向からの見積もりですので、その点をご留意願います。)
結論として、防ぐことができた損失は、保守的に見積もっても数千万円以上に達する可能性がありますが、最低額として500万円の潜在的損失額と見た場合でも、このサービスによるROIは驚異の1034%以上を達成しました。
完全成功報酬制によりクライアントはリスクゼロでテイクダウンサービスを試すことができ、成功した場合のみ料金発生という契約により、フェアかつ適正な方法で、上記の価値を提供することができました。
洞察:リソースドリブンな無差別攻撃
本プロジェクトが扱ったフィッシングサイトは、クライアント企業の正規サイトを巧妙に再現したコピーサイトを作成し、犯行サイトにあたるフィッシングサイトを配置する、というように、周到にフィッシングパイプラインを準備しています。さらに、犯行サイトは多数の詐欺事例が報告されている有名なフィッシングサイト(www.gemini-a8.com)でした。
これらを踏まえると、一見すると標的型攻撃と考えることは容易ですし、その事実は部分的にあると言えます。しかし実際には無差別攻撃と見るのがより適切であると考えています。
その理由は、コピーサイトよりも犯行サイトのほうが犯行エンティティにとってのリソース価値が高い、とみなされていることが複数の要因から推定できるためです。犯行サイトは多数の事案において度々利用されています。例えば、SNS経由での詐欺、投資詐欺、仮想通貨詐欺、フィッシング詐欺などです。これに加えプロキシを初めとした厳重な防護策が施されていることから、犯行遂行上の戦略的価値が高い、ということを意味しており、即ちリソース価値の高さ、を暗示します(おそらくEvilNginxのような情報詐取システムなどが配置されている。よってリソース価値が高い。)。そこから、この犯行サイトがフィッシング作戦上の「中心軸」であり、これに文脈的にマッチする対象を無作為に見つけてきてフィッシングのパイプラインを作る、ということが犯行エンティティの基本戦略になっているということです。
これは標的型攻撃ではなく、無差別攻撃であることを意味します。文脈的にパイプラインに合致する対象なら何でもいいわけです。(そもそも企業を狙ったフィッシング詐欺だけでなく、私人をターゲットとした、SNSを使った詐欺や、仮想通貨詐欺にも使われている事自体が、これを裏書きしています。)
こうした事態に対して、標的型攻撃であると考え、それに対する対処をするのは的外れになることもありえます。このアプローチは、標的型攻撃のように明確なターゲットがいるのではなく、戦術自体に意味と価値があり、戦術が再現できる対象を無差別に選ぶスタイルです。文脈的に合うなら法人私人問わず誰でも狙われる可能性があるので、ここにおいて標的型攻撃への対策をするのは、リソース配分を本来向けるべき対象とは違う間違った対象に向けることになり、結果的に一種のデコイ戦術にハマっていることに「意図せず」なり得ます。この場合のフィッシング業者の行動原理は、「標的ドリブンではなくリソースドリブン、アジェンダではなくコスパ、突き動かすものは政治的教義ではなく犯罪の経済学」ということです。
標的型攻撃と無差別型攻撃では、それに対する対策に共通点と相違点があります。特に明確な相違は、突発性と継続性です。標的型攻撃の場合、一定期間に渡り継続して攻撃が行われる事が多いですが、無差別攻撃の場合、突発的に何の脈絡もなく短期間に発生することが多いです。結果無差別攻撃の場合、対応策も都度対応となり、重要なのはその際の「速度」と「徹底的さ」です。つまり迅速かつ徹底的な対応が重要になります。弊社フィッシングサイトテイクダウンサービスはこのニーズに対し、明確に答えました。
www.gemini-a8.comによる詐欺行為と被害の概要
インターネット上にはフィッシングサイト(www.gemini-a8.com)による被害報告が多数あげられています。
このフィッシングサイトの詐欺に騙された結果、多額の借金を負わされたり、脅迫を受けたり、経済的被害を受けたり、といった事例が多数報告されています。具体的には、個人情報の詐取と悪用、虚偽の事由による入金要求、入金に応じないと脅される、入金後連絡が途絶え引き出し不能になる、などの事例が顕著です。また、詐欺の領域も幅が広く、投資詐欺、仮想通貨詐欺、SNSを使った詐欺、ロマンス詐欺、企業のコピーサイト、など文脈的に利用可能なあらゆる方角からフィッシングサイトに誘導し、詐欺行為を行っていた事が明らかです。
誘導経路
- X(以前はTwitter)経由で誘導される
- マッチングアプリ経由で誘導される
- SNS経由で誘導される
- コピーサイトの口座に偽装し、誘導される
- 他多数
これらの被害報告の詳細については、インターネットで検索して確認することができます。
本プロジェクトの結果、フィッシングサイト(www.gemini-a8.com)は停止し、上記の詐欺被害のさらなる拡大を食い止めることができたことも、プロジェクトの重要な成果です。
拡散のお願い - あなたの協力で広がるセキュリティ意識
この成功事例をご覧いただき、誠にありがとうございます。この取り組みは、フィッシング詐欺による被害を減少させ、より安全なオンライン環境を構築するための重要な一歩です。
この成功事例がより多くの人々に知られることで、同様の被害を防ぎ、さらなるセキュリティ意識を高めることができます。ぜひご都合のよい方法で、この記事をシェアして下さい。
プロジェクト統計情報
テイクダウンしたフィッシングサイト数:2
最短テイクダウン時間:即日
ROI:1034%以上
動員人員数:1名
プロジェクト担当者:牛越篤志(代表取締役)
著者情報
氏名:牛越篤志(Ushikoshi Atsushi)
肩書き:代表取締役 兼 創業者
所属機関:株式会社ImprovedMove
【最新のセキュリティ情報を今すぐ受け取る】
フォームにご入力いただくことで、貴社のセキュリティ強化に役立つ最新のサービス情報をいち早くお届けします。
次のステップ
フィッシングサイトによるリスクに直面した際は、すぐに当社へご相談ください。 テイクダウンサービスにより貴社の利益を守ります。