特集警察は、フィッシング攻撃に使用できる信頼されたブランドのウェブサイトの説得力のあるコピーをサイバー犯罪者に提供していたダークウェブ市場を閉鎖しました。
このフィッシング詐欺師はLabHostと呼ばれ、銀行や大手小売業者を含む170以上の有名組織の正規のオンラインホームを装ったダウンロード可能な偽のウェブサイトを提供していたため、2021年以来フィッシング詐欺師のたまり場となっていた。
英国では数万人もの被害者がこれらの偽サイトに騙され、ブランドの本物のウェブサイトを使っていると誤解してログイン情報などの情報を提供してしまったとみられています。これらの情報は金銭を詐取するために利用されたり、他の詐欺師に売却されたりしました。警察によると、LabHostの加入者の多くは、手っ取り早く金儲けを狙う10代後半から20代の学生だったとのことです。
逮捕
英国ロンドン警視庁(MPS)が主導した国際作戦により、水曜日にフィッシング詐欺サイトの多くのドメインが押収され、閉鎖された。
17カ国の当局が関与したこの活動は2022年6月から続いており、少なくとも35人が逮捕されました。英国内で25人、英国外で10人が逮捕されました。容疑者全員が今週日曜日から水曜日にかけて逮捕されました。警察によるLabHostネットワークへの侵入と押収を受けて、さらに多くの容疑者が拘束される見込みです。
警察によれば、英国で逮捕された人物の1人はLabHostの英国支社を率いていた疑いがあり、そのことは同氏が同社の事業を支える技術インフラの多くに責任を負っていることを意味するという。
その他の容疑者は、LabHostの運営、あるいはLabHostのマネーロンダリングプロセスへの関与といった、他の役割を担っている疑いがあります。法的理由により、現段階では氏名を公表できません。
今週初めにレジスター紙に報告したMPSサイバー犯罪課の刑事検査官オリバー・リクター氏は、この妨害作戦は、電話なりすましサービスiSpoofを停止させた「Elaborate」というコードネームの2022年のキャンペーンの派生だと説明した。
完全に消え去った – 願わくば
LabHost は、この最新の措置の後もオフラインのままなのでしょうか、それとも、今年初めに英国の FBI にあたる国家犯罪庁とそのパートナーが劇的に LabHost の解体を試みた後に LockBit が行ったように復活するのでしょうか。
リヒター氏は、フィッシング詐欺の拠点が復活するのは難しいだろうと語った。
とはいえ、LabHostのような組織は常に顧客基盤を持ち、何らかの形で復活する可能性が高いと彼は認めた。ここでの最終的な目標は、LockBitやALPHV/BlackCatの閉鎖と同様に、これらのサイトの犯罪者ユーザーに、最終的には逮捕されると信じ込ませることで、彼らを怖がらせることだろう。
「こうしたサービスとしてのプラットフォームは、犯罪者としてのユーザーのデータがどこかに保存されるため、ユーザーを非常に大きなリスクにさらす」とリヒター警部は警告した。
サーバーインフラの拠点がどこであろうと、管理者がどこにいようと、ドメイン名がどこであろうと、私たちはあらゆる戦術を使ってあなたの活動を妨害します。
「彼らはそれを制御できていない。そして、もし最終的に、こうした支援者たちが自分たちが思っているほど技術に精通していなかったり、あるいは間違いを犯していたりすれば(もちろん、私たち皆がそうであるように)、法執行機関は間違いなく今、彼らを阻止しようと躍起になっている。それは英国に限ったことではない」とリヒター氏は付け加えた。
「英国では今、他のどの犯罪よりも詐欺の被害に遭う可能性が高いと人々は感じています。そのため、私たちはオンラインでその分野で行っている活動について、あまり公言していないかもしれません。これは、ロンドン警視庁と、英国および海外のすべてのパートナーが、詐欺対策に意欲を持っているということを言いたいのです。」
「あなたのサーバーインフラがどこにあっても、あなたの管理者がどこにいて、あなたのドメイン名がどこにあっても、私たちはあなたの活動を妨害するためにあらゆる戦術を使います。」
ロンドン警視庁はまた、自らの行動によって、一般市民ではなくとも被害者に対し、この種のサイバー犯罪に対処するために何らかの対策が講じられていることを安心させられることを期待している。
LabHostのようなサービスを利用して犯罪を犯す犯罪者は、多くの場合若者で、おそらく大学に通っており、社会に出る前にちょっとしたお金を稼ぐ手段だと考えていると考えられています。このようなおとり捜査は、そうした誤解を払拭しようとしています。
当局がLabHostのインフラに侵入し、どのように制御を掌握したかについて尋ねられたが、リヒター氏は詳細をほとんど語らなかった。ロンドン警視庁は恐らく、この戦術を将来の作戦でも再利用したいと考えているのだろう。彼から得られたのは、「様々な手法」が用いられたということだけだ。
研究室の中
サイバーセキュリティソフトウェアベンダーのFortraによると、同社の研究者は以前LabHostを調査していたが、この犯罪市場は2021年後半に出現し、1か月前に立ち上げられ同様のサービスを提供していたFrappoという組織に類似していたという。
リヒター氏によると、LabHostはピーク時には約170の組織にフィッシングキットを提供し、そのうち47は英国に拠点を置いていたという。これらのキットは有料会員向けに提供されており、Fortraによると、プラットフォームへのアクセス料として月額約300ドル(240ポンド)を支払っていた。仮想通貨で支払いを済ませてから5分以内に、犯罪者は膨大な数のフィッシングテンプレートにアクセスできた。
フォルトラ氏は、LabHostが複数のサブスクリプションパッケージを提供していたと考えている。あるパッケージは北米のサイトのみを提供し、国際パッケージはSpotifyやDHLといったグローバルブランドを模倣したサイトへのアクセスを可能にしていた。
「LabHostの標準メンバーシップでは、脅威アクターはカナダのブランドと3つの同時アクティブフィッシングページのみにアクセス可能」とTeam Fortraは明らかにした。「プレミアムメンバーシップでは、米国の銀行を狙ったキットへのアクセスが許可され、同時アクティブフィッシングページ数は20まで増加します。」
キットには、被害者から個人データや財務情報などを収集するのに使用できる偽装ウェブサイトのテンプレートが含まれています。
- 詐欺師がAzureのC-Suiteプールでフィッシング攻撃を行い、数百の幹部アカウントを盗む
- ヘルデスクで働くだけでも十分悪いのに、ITヘルパーがサイバー犯罪の標的になっている
- ロシアのCozy Bearが偽のディナー招待状でドイツ政治家をフィッシングしていたことが発覚
- シスコに火事!ネットワーク大手のDuo MFAメッセージログがフィッシング攻撃で盗まれる
LabHostの提供するサービスの中で最も高度なのは「LabRat」で、これは犯罪者が被害者からリアルタイムで特定の情報を抜き出すことができるツールです。被害者はフィッシングサイトに誘導され、認証情報を入力させられます。すると、犯罪者はLabRatを使って即座にユーザーにさらなる情報(ワンタイム認証コードや盗む個人情報など)の入力を促します。
LabRatは中間者プロキシとして機能し、訪問者を実際のサイトにログインさせて実際の情報や結果を表示させながら、データを盗み、さらなる入力を促す可能性があるようだ。リヒター氏はこれを「実に巧妙な」プラットフォームと評した。
「サービスを設定して数日後に再度アクセスし、被害者がどのようなデータを入力したかを確認してからそれを販売するという受動的な利用方法ではなく、能動的なアプローチを取ることも可能だった」と同氏は説明した。
「ある人がサイトにログインしたことを通知し、そこから被害者の行動をガイドすることができます。
リヒター氏は、LabRat は被害者が実際に銀行を訪問できる仕組みだが、「読み込み中や次のページが表示されるたびに、LabHost 上で『ワンタイムパスワードが必要です』や『母親の旧姓が必要です』などと言うことができます。実際に、そのプロセスを通じて被害者を誘導することができます」と述べた。
人気
当局がLabHostを閉鎖した時点で、約2,000人の有料顧客を抱え、100万ドル以上のサブスクリプション収入を得ていました。これらはすべて犯罪行為によるものでした。アカウント登録者数は実際よりもはるかに多かったものの、実際にはサブスクリプションを購入しなかった人も多くいました。彼らはただ、どんなものか見てみようと登録しただけだったと考えられています。
リヒター氏によると、LabHostのツールによって4万以上のフィッシングサイトが構築されており、MPSは可能な限り多くのサイトを摘発しようと努めているという。摘発されたサイトには、法執行機関が通常使用するスプラッシュページが表示され、サイトが摘発されたことが明確に示される。
当局はこれらのサイトを閉鎖する取り組みの中で、LabHost が作成したサイトの被害者との約 100 万件のやり取りを明らかにするログを収集しました。
100万人のうち、約8万2000人が英国の被害者に関係しており、当局は実際の個人被害者を7万人弱に絞り込んでいるとみている。
Fortraは、犯罪バザールの人気が2023年の初めにカナダの銀行を狙ったフィッシングキットをリリースして以来、著しく高まっているようだと観察した。
LabHostは2023年10月に深刻な障害に見舞われ、新規ユーザーはサブスクリプションを購入できなくなりましたが、同年12月には比較的迅速に復旧し、以前の活動レベルに戻りました。実質的には、毎月数百件のフィッシング攻撃に対応していたことになります。
リヒター氏に10月の停電について、そしてそれが当局による最終的な停電阻止の取り組みと何らかの関連があるのかどうかについて尋ねた。同氏は、チームはその事象を認識していたものの、「責任を問われるようなことは考えていない」と述べた。
「彼らが停電と問題を抱えていたことは我々は確かに知っている」と彼は付け加えた。
当局は、水曜日の摘発の一環として、国家犯罪庁がLockBitを取り締まり、そのインフラを押収し、独自のツールを使用してメンバーに直接連絡を取ったときと同じような騒動を起こそうとしている。
フィッシュ、ラップ
水曜日の午後の本稿執筆時点では妨害活動は継続中で、LabHostの加入者の多くに連絡を取り、彼らの情報が現在世界警察の手に渡っていることを知らせることも含まれている。
ロンドン警視庁はLabHostのインフラを管理しており、公式Telegramチャンネルもその一つだ。同チャンネルではすでに約6,200人のフォロワーに向けて、削除の噂を否定するメッセージを投稿している。
ラボホストのテレグラムチャンネルには、作戦のインフラを掌握した英国警察から送られた安心させるメッセージが表示されています。
世界中のLabHostユーザーの約半数は、Spotifyの毎年恒例のWrappedキャンペーンのようなメッセージを既に受け取っているか、あるいは近々受け取ることになるでしょう。これは、初心者にとってはInstagramのリールのように各ユーザーの音楽視聴習慣をまとめたものです。今回の場合は、LabHostの活動に関する内容です。
これらのメッセージはLabHostの公式チャンネルとアカウントから送信され、この作戦が警察によって徹底的に妨害されたという考えを強めるものと私たちは理解しています。
「あのビデオを見れば、君たちが何をしていたのか、我々が間違いなく把握していることに疑いの余地はないだろう」とリヒター氏は述べた。「これらの人物は今後数ヶ月以内に逮捕されるか、その他の法執行措置の対象となるだろう。」
私たちは、ユーザーがそのサービスを通じて行ったすべてのデータにアクセスできます
「我々は、ユーザーがそのサービスを通じて行ってきたすべてのデータにアクセスできる。現在17カ国とその法執行機関も同様だ。」
ロンドン警視庁がLabHostのインフラをどれくらいの期間管理してきたのかと問われると、リヒター氏は戦術を明かしたくないという弁明に終始した。ただし、オランダの警察官がダークウェブ市場を長期間管理し、詐欺行為をリアルタイムで監視できたハンザ事件のような買収行為はなかったと付け加えた。
「例えば、実際に不正行為が行われるのを見て、『今行動を起こすべきか、そうでないか』と判断するような状況に陥ったことは一度もありません。そのような状況に陥るような戦術は使っていません」とリヒター氏は説明した。
「今、この措置を講じる理由は、今回が初めてであり、我々が実際にサービスを著しく混乱させる能力があると感じたのも、また、できるだけ多くのユーザーに、より広範なメッセージを伝えることができると感じたのも、そして被害者を保護し、英国でどれだけの被害者がいるのかを正確に把握し、適切なコミュニケーションを彼らに届けることができると感じたのも、非常に早かったからです。」
英国では、4月18日(木)末までに、最大2万5000人の被害者に対し、被害に遭ったとみられるフィッシング詐欺の詳細について連絡が届く予定です。また、ロンドン警視庁はウェブサイト上で「被害者向けパッケージ」と名付けた資料を公開し、さらなる支援やリソースを提供する予定です。®
