子供や無知な人間を騙すことは許される行為ではない。だが詐欺師や犯罪者にとってそれはむしろ正攻法であり目的達成のための合理的行動かもしれない。恐ろしいことにそれはカタギの企業にも当てはまることがある。
このレポートは 2023 年 BlackHat USA の Briefings セッション「Kids in the Ad Fraud Crosshair: Why International Threat Actors are Targeting Children to Steal Money from Banks and Major Corporations」(Zach Edwards, Senior Manager, Threat Insights, HUMAN Security)の内容をベースにしている。
● 政府機関やゲームサイトを狙う攻撃アクターたち
RaaS がアンダーグラウンドでは確立されたビジネスモデルとなっているように、その他のサイバー犯罪でもネットや Web をインフラとした犯罪エコシステムが存在する。セキュリティ研究者のザッハ・エドワーズ氏によると、アフィリエイターを使った広告詐欺インフラが存在し、特定の攻撃アクターたちが地味に活動を続けているという。
その犯罪エコシステムは次のような構造をしている。
攻撃者は正規のサイト、それも政府機関からゲームサイト、人気ブログをハイジャックしエクスプロイトページを埋め込む。このページはサイトに訪れた人を外部サイトに誘導する。ランディングページのようなものだが、エドワーズ氏は「ロッカーページ」と呼んでいる。ロッカーページはアクセスしてきたブラウザにマルウェアやクリック詐欺のコードなどを読み込ませる。
ロッカーページにアクセスしてきた人は、正規サイトの機能と思ってページをクリックする。だが、それがクリック詐欺やマルウェアのダウンロードなどさまざまな攻撃を発生させる。典型的なのは、マルウェア入りの PDF ファイルだそうだ。この PDF には標的の情報収集をするスクレイパーが仕込んである。本人は、オンラインゲームの新しいスキンや mod をダウンロードしている、あるいは商品やアイテムがもらえるキャンペーンに応募していると思っている。その裏ではスクレイパーが情報を収集したり、他のマルウェアの活動を許してしまっている。
被害者は知らないうちにマルウェアの攻撃を受け、さらにフィッシングメールやマルウェア拡散の踏み台にもされてしまう。さらに特徴的なのは、被害者を汚染ページや攻撃サイト誘導にも利用している。知らずにロッカーページを踏むだけでなく、偽の広告やアプリ、ゲームアイテムによって標的をアフィリエイターに仕立て上げる。アフィリエイトのインフラには CPA マーケティングサイトも利用する。
