以下は CODE BLUE 2022 で発表された「Understanding the Chinese underground card shop ecosystem and becoming a phishing master」を試訳したものです。
発表者:Strawberry Donut
発表日:2022年10月28日
目的
CODE BLUE を聴講後、復習をかねて翻訳しました。
当日は日本語通訳のトラックで聴講していましたが、発表者の話し方などもあり、仔細な部分まで通訳するのは困難であるように思われました。
また、以下の記事も確認したのですが、日本語通訳をもとにしたトピックのみで構成されており、発表内容の詳細まではわからなかったことから、あらためて翻訳することにしました。
[レポート]中国系地下カードショップ環境の理解によるフィッシングマスターへの道 - CODE BLUE 2022
なお、講演の開始直前に撮影禁止となったため、各スライドについては、参考として「HITCON PEACE 2022」のウェブサイトで提供されている資料へのリンクを記載しています。
1/13 に「CODE BLUE 2022」の資料が公開されたため、リンクを追記します。
講演内容
みなさん、おはようございます。「CODE BLUE 2022」の二日め最初のセッションを開始します。
セッション 1 は Strawberry Donut 氏による講演で、「中国の違法なカードショップのエコシステムを理解し、フィッシングの達人になる方法」です。
中国の違法なカードショップのエコシステムを学び、フィッシングの達人になりましょう。
なお、このセッションは撮影禁止となります。
それでは、スピーカーをお迎えください。Strawberry Donut 氏です。
はじめに
みなさん、こんにちは。
本日は、中国の違法なカードショップにおけるエコシステムを理解するため、冒険の旅に出ましょう。フィッシングの達人になるチャンスです。
それでは、冒険の始まりです。
参照:「HITCON PEACE 2022」の資料(P.1)
「CODE BLUE 2022」の資料(P.1)
自己紹介
まずは、少し自己紹介をさせてください。
私は Strawberry Donut と申します。ストロベリー・ドーナツを食べるほか、不正行為の検知を専門とするデータサイエンティストです。
また、認定マネーロンダリング防止スペシャリスト協会1の会員でもあります。
参照:「HITCON PEACE 2022」の資料(P.2)
「CODE BLUE 2022」の資料(P.2)
概要
本日の冒険は 4 部構成でお送りします。
まず、この研究の背景と範囲について軽く紹介します。
次に、この冒険の旅をどのように始めるかについてお話しします。
そして、みなさんを違法なカードショップ・マーケットへと案内し、そのエコシステムを理解していただきます。
最後に、クレジットカード詐欺について、結論と課題について考察します。
参照:「HITCON PEACE 2022」の資料(P.3)
「CODE BLUE 2022」の資料(P.3)
免責事項
こちらは免責事項です。
この研究は 100% 法律に準拠しています。いかなる犯罪行為も行っておりません。
参照:「HITCON PEACE 2022」の資料(P.4)
「CODE BLUE 2022」の資料(P.4)
背景とスコープ
この研究の背景についてですが、クレジットカード詐欺に関するものとなります。
参照:「HITCON PEACE 2022」の資料(P.5)
「CODE BLUE 2022」の資料(P.5)
日本でのクレジットカード詐欺による被害
日本では、2021 年のクレジットカード詐欺による被害額が 330 億円に達し、過去最高額となりました。
日本クレジット協会によれば2、カード番号の盗難が全体の 94% を占めているそうです。
参照:「HITCON PEACE 2022」の資料(P.6)
「CODE BLUE 2022」の資料(P.6)
日本を標的とする中国の違法なカードショップのエコシステム
本日の研究では、日本を標的とする中国の違法なカードショップのエコシステムに焦点を当てたいと思います。なぜ中国かというと、クレジットカード詐欺を行う詐欺師の多くが中国人であることがわかっているからです。
中国のカード詐欺師が日本市場を狙う理由は主に 2 つあります。
日本がカード詐欺師にとって理想的なマーケットである 2 つの主な理由ですが、1 つは、日本のクレジットカードの 3D セキュア認証は固定のパスワードであり、フィッシングサイトを通じてパスワードのリストを収集できるからです。
もう 1 つは、中国のカード詐欺師は日本人は金持ちで与信枠が高いと考えているためです。
中国のカード詐欺師にとって、固定のパスワードを利用しており、与信枠が高いという状況は実に理想的です。
そして、本日の研究の目標は、中国のカード詐欺におけるバリューチェーンを理解することです。
参照:「HITCON PEACE 2022」の資料(P.7)
「CODE BLUE 2022」の資料(P.7)
クレジットカード情報を入手する方法
クレジットカード情報を入手する方法は大きく分けて 3 つあります。
1 つめの方法は、「フィッシングサイト」によるもの、2 つめの方法は、「JavaScript インジェクション」によるものです。
ハッカーはクレジットカード情報を取得するために、e コマースサイトを侵害し、悪意のある JavaScript を埋め込む能力を有しています。
3 つめの方法は、「スティーラーマルウェア」とも呼ばれるトロイの木馬型マルウェアを利用する方法です。
今回は(1 つめの)フィッシングに焦点を当てます。なぜなら、フィッシングはクレジットカード情報を入手する方法のなかでも主流のものだからです。
参照:「CODE BLUE 2022」の資料(P.8, P.9)
この冒険の旅の始めかた
さて、この冒険の旅はどのように始まるのでしょうか?
参照:「HITCON PEACE 2022」の資料(P.8)
「CODE BLUE 2022」の資料(P.10)
日本を標的とするクレジットカード詐欺コミュニティ
昨年のある日のことでした。私たちの調査チームは Telegram 上であるコミュニティを見つけました。
コミュニティには 96,000 人を超えるユーザーがいました。
そのコミュニティは日本を標的とするクレジットカード詐欺コミュニティのうち、最大規模のものであり、日本市場を対象としたクレジットカード詐欺のトレーニングプログラムを提供していました。
コミュニティリーダーの話によれば、2022 年上半期の時点でアクティブユーザーが 500 人以上いるとのことでした。
コミュニティリーダーが録画した動画のなかには彼自身に関する話題があり、彼が GMT +8 のタイムゾーンにいることがわかっています。これは中国と同じタイムゾーンです。
また、動画のなかには彼が Google 翻訳を利用しているものもあり、その動画から彼が全く日本語ができないこともわかっています。
そして、調査時に彼が教えてくれたビットコインアドレスに関しては、過去 3 年間で 56 BTC の収益がありました。56 BTC は日本円で時価 1.6 億円に相当する金額です。
参照:「HITCON PEACE 2022」の資料(P.9)
「CODE BLUE 2022」の資料(P.11)
クレジットカード詐欺コミュニティのリーダー
コミュニティリーダーについて、もう少しお話ししましょう。
コミュニティを調査していたところ、今年 6 月、コミュニティリーダーがアダルトコンテンツ(マルウェア付きのファイル)をクリックしてしまったことで、Telegram のアカウントが乗っ取られてしまいました。
そのため、このコミュニティはすでに存在しません。それがこのコミュニティについて公の場でお話しする理由です。
参照:「HITCON PEACE 2022」の資料(P.10)
「CODE BLUE 2022」の資料(P.12)
調査環境のセットアップ
では、調査環境をセットアップしたいと思います。
帰属可能な(attributable)調査環境が必要です。
まず、新規の電話番号を利用して Telegram でペルソナ(偽装人格)を作成します。
次に、まっさらに再フォーマットした機器またはレンタルの VPS か RDP サーバーが必要です。
つまり、身元を隠すためのインターネット接続を確保する必要があるため、VPN かプロキシを利用して自分の身元や居場所を隠すわけです。
参照:「HITCON PEACE 2022」の資料(P.11)
「CODE BLUE 2022」の資料(P.13)
トレーニングプログラム
それでは、フィッシングのトレーニングプログラムについて、詳しくお話ししましょう。
授業料は 3,000 元(日本円で 56,000 ~ 57,000 円)ほどです。ビットコインで支払うと、フィッシングの方法やクレジットカードの利用方法に関する説明が動画形式で録画されたトレーニングコースとして提供されます。
トレーニングコース以外にも、メールアドレスのデータベースやフィッシングキットなど、受講生が練習するための無料の教材が多数提供されています。
このスライドの右側をご覧ください。これはそのスクリーンショットです。
受講生になると、たくさんの Telegram のプライベートチャネルに招待され、より多くの教材が提供されます。
参照:「HITCON PEACE 2022」の資料(P.12)
「CODE BLUE 2022」の資料(P.14)
これはほんの入口ですが、現在、私たちの調査チームは Telegram 上で 300 以上の中国の違法なカードショップ・マーケットを定点観測しています。
カードショップのエコシステム
それでは、カードショップの話に入りましょう。
参照:「HITCON PEACE 2022」の資料(P.13)
「CODE BLUE 2022」の資料(P.16)
カード詐欺師のバリューチェーン:初期設定
カード詐欺師のバリューチェーンについて紹介し、各段階の詳細まで掘り下げていきます。
まず、最も重要なのは初期設定です。
次に、フィッシングのための環境を用意し、フィッシングを開始します。
フィッシングによって有用な情報を入手したら、クレジットカード情報を利用してみて、後でそのクレジットカードを使用して現金化します。
参照:「HITCON PEACE 2022」の資料(P.14)
「CODE BLUE 2022」の資料(P.17)
では、「0. 初期設定」です。初期設定は 0 番としました。
ここが最も重要な部分である理由は、環境設定における初期設定はバリューチェーンにおける以降の全ての段階にも適用されるからです。
初期設定を行う理由は主に 2 つあり、環境を正しく設定するために非常に重要です。
1 つめは、いかなる調査チーム、あるいはいかなる人間からの素早い追跡に対しても、身元を隠すためです。
2 つめは、セキュリティルールのトリガーを回避するためです。
まず、私たちの身元を隠蔽します。身元を隠すには、いくつかのレイヤーが必要です。
1 つめは、VPS や RDP などを設定することであり、2 つめは、レジデンシャルプロキシのようなプロキシを使用して IP アドレスを偽装することです。
参照:「HITCON PEACE 2022」の資料(P.14)
「CODE BLUE 2022」の資料(P.18)
セキュリティルールのトリガーを回避するための初期設定
また、セキュリティルールのトリガーを回避するために参考となるヒントもあります。
(1 つめの項目である)IP アドレスの設定については、先ほどお話ししたとおり、対象となる国や行政区画の IP アドレスを設定することができます。
また、(2 つめの項目については)現在多くの e コマース企業は IP アドレスのブラックリストを所有しているため、私たちの IP アドレスがブラックリストに載っていないことを確認する必要があります。
3 つめの項目も非常に重要ですが、VPS のタイムゾーンと言語を日本に設定することです。
日本を標的としたい場合、時刻を日本時間に、言語を日本語に設定することを忘れないでください。
4 つめと 5 つめの項目は、MAC アドレスを変更し、Cookie や DNS のキャッシュを全て削除することです。
ここでの大切なポイントとしては、追跡されないようにブラウザーや環境をできるだけクリーンな状態にしておくということです。
参照:「HITCON PEACE 2022」の資料(P.15)
「CODE BLUE 2022」の資料(P.19)
レジデンシャルプロキシ
環境設定に関するもう 1 つの大切なポイントは、レジデンシャルプロキシです。
現在、中国のカード詐欺師のほとんどがレジデンシャルプロキシを使用しています。
どのように使用しているかというと、ネットでレジデンシャルプロキシ・プロバイダーと契約し、サービスにアクセスして必要な IP アドレスを選択します。
これにより、偽の IP アドレスで狙い定めた目的の場所にアクセスできるようになります
中国では、多くのカード詐欺師がレジデンシャルプロキシを利用しています。
それが「911」3と呼ばれるものです。
レジデンシャルプロキシ用の IP アドレスはどこから提供されるかというと、通常はユーザーから同意を得ない P2P 機能を備えたアドウェアや VPN、あるいは無料の VPN サービスを介してとなります。
そのため、無料の VPN ソフトウェアをダウンロード(してインストール)すると、あなたのデスクトップ PC やノート PC はカード詐欺師用の無料のレジデンシャルプロキシになってしまう可能性があります。
参照:「HITCON PEACE 2022」の資料(P.16)
「CODE BLUE 2022」の資料(P.20)
中国のカード詐欺師に利用される「911」
ここに「911」のスクリーンショットがあるので、いくつか見てみましょう。
「911」は都市単位で IP アドレスを提供しています。
例えば、現在、クレジットカード詐欺の被害者が沖縄にいる場合、都市に沖縄を選択することができます。ISP も同様に選択することができます。
参照:「HITCON PEACE 2022」の資料(P.17)
「CODE BLUE 2022」の資料(P.21)
また、今は多くのカード詐欺師がユーザーエージェントを偽装しています。なぜなら、フィッシングキットでユーザーエージェントに関するデータを収集しているからです。
この「911」でも同様に自身の UI ブラウザーとフィンガープリントを選択することができます。
参照:「HITCON PEACE 2022」の資料(P.18)
「CODE BLUE 2022」の資料(P.22)
この便利な機能を公の場で紹介した理由は、「911」が 2022 年 7 月 28 日でサービスを終了したからです。
これは「911」によって発表された内容4であり、彼らは<この部分は発言が不明瞭で内容がわからず>と主張しています。
また、彼らは自分たちの信用取引システムがハッキングされたとも主張していますが、これは非常に疑わしいと考えています。というのも、彼らはすでに<この部分は発言が不明瞭で内容がわからず>している中国政府を避けたがっているはずだからです。
そして、現在、中国のカード詐欺師たちは「911」以外の似たようなレジデンシャルプロキシ・サービスを使用しています。
参照:「HITCON PEACE 2022」の資料(P.19)
「CODE BLUE 2022」の資料(P.23)
カード詐欺師のバリューチェーン:フィッシングのセットアップ
では、フィッシングのセットアップをしましょう。
フィッシングのセットアップには、重要な手順がいくつかあります。
まず、フィッシングメールを送信するためにメールアドレスのデータベースを入手し、フィッシングキットをセットアップする必要があります。
セットアップが完了したら、メールをばら撒く必要があります。
参照:「HITCON PEACE 2022」の資料(P.20)
「CODE BLUE 2022」の資料(P.24)
標的とするメールアドレスのリストの入手
優秀なハッカーにとって、鮮度の高いメールアドレスは必須です。そして、自分たちが所有する情報をネット上で入力する必要があります。
これは、ハッカーがネット上で多くのウェブサイトをハッキングしたと思われるスクリーンショットです。これら一つひとつのフォルダー名はいずれも各ウェブサイトの URL になっています。
これらのうち、いくつかの URL にアクセスしてみましたが、いずれも日本の中小企業のようでした。
おそらく、これらのウェブサイトには適切なセキュリティルールがないため、SQL などでデータベース全体が容易にダンプされてしまうでしょう。
フィッシングキットをセットアップする方法
ここまでで大量のメールを入手しましたので、フィッシングキットをセットアップしましょう。
フィッシングキットをセットアップするには 2 つの方法があります。
1 つめは、侵害されたサーバーを利用する方法です。
この方法のメリットは侵害したウェブサイトが高い評判を有していることであり、デメリットはサーバーが停止されるリスクが高まることです。
2 つめは、レンタルサーバーを利用する方法です。
Apache または nginx サーバーをセットアップし、フィッシングキットをアップロードしましょう。
ロシアのハッカーから防弾ホスティングを購入してもよいかもしれません。
なお、カード詐欺師のなかには Microsoft Azure を利用していると主張する者もいますが、これは Microsoft Azure で構築されたサーバーは停止させるのに何か月もかかるのがその理由のようです。
参照:「HITCON PEACE 2022」の資料(P.21)
「CODE BLUE 2022」の資料(P.26)
フィッシングキットのテンプレートの例
では、フィッシングキットの例をいくつか紹介します。
いろいろな種類のクレジットカードをもとにしたフィッシングキットがあることがわかります。
Amazon のウェブサイトにくわえ、コロナ禍には新型コロナワクチンの接種をもとにしたフィッシングキットもありました。
参照:「HITCON PEACE 2022」の資料(P.22)
「CODE BLUE 2022」の資料(P.27)
さらにこのようなものもあります。
クレジットカードをもとにしたフィッシングキットはたくさんあります。
えきねっとや ETC をもとにしたものもあり、それらはカード詐欺師への返信率がとても高いようです。
参照:「HITCON PEACE 2022」の資料(P.22)
「CODE BLUE 2022」の資料(P.28)
フィッシングキットのコンポーネントについて
フィッシングキットのコンポーネント(構成要素)をいくつか見てみましょう。
これは Amazon をもとにしたフィッシングキットで、「对伪装」と言われる偽装行為に対抗する機能を備えているものです。
「对伪装」は中国語で「詐欺防止」という意味ですが、ここではセキュリティ研究者やセキュリティ企業(の偽装行為)に対してという意味です。
このスライドの左側では、Google クローラーなどからのアクセスを全てブロックしていることがわかります。
スライドの右側では、サイバーセキュリティ企業のような特定の範囲の IP アドレスから来るアクセスをブロックしています。
参照:「HITCON PEACE 2022」の資料(P.23)
「CODE BLUE 2022」の資料(P.29)
人間以外の訪問者のブロックについて、もう少しお話ししましょう。
スライドの左側では、リファラーの IP アドレスをチェックしていることがわかります。
また、スライドの右側では、IP アドレスからドメイン名を解決し、有名なサイバーセキュリティ企業をブロックしています。
参照:「HITCON PEACE 2022」の資料(P.24)
「CODE BLUE 2022」の資料(P.30)
フィッシングキットは多くのサイバーセキュリティ企業をブロックしています。そして、被害者がプロキシを使用しているかどうかも確認しています。
実際にプロキシを使用していると、実 IP アドレスを取得しようとしてきます。
また、訪問者の IP アドレスが米国にあるか、あるいは中国や日本にあるかを確認するソースコードもあります。
ユーザーの IP アドレスが中国や日本のものでない場合は、エラーを返します。
これはどういうことかというと、カード詐欺師は中国にいて、被害者は日本にいるということです。
参照:「HITCON PEACE 2022」の資料(P.25)
「CODE BLUE 2022」の資料(P.31)
被害者が情報を入力しようとすると、フィッシングキットは被害者に Amazon のアカウント名とパスワードを入力するよう求めます。
そして、パスワードをチェックし、パスワードの長さが 4 文字より短い場合は、エラーを返します。
また、被害者がクレジットカード番号を入力した後、オープンソースの API を利用してクレジットカードの BIN コード(銀行識別番号)をチェックします。
クレジットカードの BIN コードが有効である場合は、チェック処理を通過させ、有効でない場合は、エラーを返します。
参照:「HITCON PEACE 2022」の資料(P.26)
「CODE BLUE 2022」の資料(P.32)
このスライドの左側にはカード詐欺師にとって必要なデータ形式が全て揃っています。
多くの情報が収集された後、収集された情報はカード詐欺師のメールアドレスに送信され、被害者は本物の Amazon のウェブサイトへとリダイレクトさせられることがわかります。
参照:「HITCON PEACE 2022」の資料(P.27)
「CODE BLUE 2022」の資料(P.33)
これはカード詐欺師が見せてくれたスクリーンショットです。
メールボックスには大量のフィッシングデータ(フィッシングによって詐取された個人情報)があり、全て Amazon 関連のフィッシングデータです。
参照:「HITCON PEACE 2022」の資料(P.28)
「CODE BLUE 2022」の資料(P.34)
スパムフィルターのルールを回避する手口
スパムフィルターのルールを回避する手口はいくつかあります。
大切なのは、スパムフィルターのルールを回避するために常にコンテンツや環境を改善しようとすることです。
重要な要素がいくつかあります。
1 つめは、環境です。IP アドレスをできるだけクリーンな状態に保つため、継続的に IP アドレスを変更する必要があります。
2 つめは、フィッシングキット用のドメインサーバーをセットアップする必要があります。その際、有名なウェブサイトに似せたドメイン名を登録するのは避けることをお勧めします。
また、一括でブロックされるリスクを分散させるため、複数のドメイン名を同時に登録する方が安全です。一括でブロックされた場合は、フィッシングのプロセス全体を停止せざるを得なくなります。
3 つめは、URL には SSL を使用しないことです。SSL を追加すると、Google のクローラーなどを引き寄せてしまい、情報が公開されてしまうからです。
SSL の代わりに、URL リダイレクトツールを使用することをお勧めします。
参照:「HITCON PEACE 2022」の資料(P.29)
「CODE BLUE 2022」の資料(P.35)
URL リダイレクトツールの例
これは、私が自分で使用してみた URL リダイレクトツールです。
スライドの左側にフィッシングキットと URL があります。ここで HTTPS 接続で新しい URL に変更することができます。
また、ドメイン名の後にウェブサイト、例えば amazo.co.jp(amazon ではなく amazo)のようなものに変更し、人の目を欺くこともできます。
あまり考えない人であれば、フィッシングサイトのリンクをクリックしてしまうでしょう。
参照:「HITCON PEACE 2022」の資料(P.30)
「CODE BLUE 2022」の資料(P.36)
URL リダイレクトツールを使用するメリット
URL リダイレクトツールを使用するメリットについてです。
URL リダイレクトツールは URL をより正常なものに見せてくれます。
(URL が)「https://」で始まり、よく知られたドメイン名であることから、それなりに評価も高まります。
また、URL 内の文字列を自分で選択することもできます。
ここでもう 1 つ重要な点は、カード詐欺師がスパムフィルターのしくみによってブロックされた場合、URL リダイレクトツールは、カード詐欺師がフィッシングの運用サイクルをより速く復旧させるのに役立つということです。
参照:「HITCON PEACE 2022」の資料(P.31)
「CODE BLUE 2022」の資料(P.37)
カード詐欺師のバリューチェーン:フィッシングの開始
では、フィッシングを開始し、クレジットカード情報を収集しましょう。
参照:「HITCON PEACE 2022」の資料(P.32)
「CODE BLUE 2022」の資料(P.38)
フィッシングによって詐取した情報の回収
これはカード詐欺師によって提供された非常に整ったデータ構造です。
通常は、CVV(セキュリティコード)付きのクレジットカード番号,カード所有者名,被害者に関する個人情報が記載されています。
フィッシングキットに高度なオプション機能があれば、電話番号,3D セキュア認証,パスワード、例えば Amazon のアカウントやパスワードのような会員アカウントやパスワードを被害者に入力させることもあります。
また、IP アドレスもありますし、ユーザーエージェントのようなフィンガープリントもあります。例えば、「911」にアクセスすれば、IP アドレスやユーザーエージェントを偽装して、できるかぎり被害者に似せることが可能でした。
参照:「HITCON PEACE 2022」の資料(P.33)
「CODE BLUE 2022」の資料(P.39)
現金化の手口
さて、これで多くのクレジットカード情報が入手できましたので、現金化したいと思います。
現金化する前に、現金化する方法を決める必要があります。私たちの調査チームがまとめた現金化の方法は、基本的に 4 つあります。
最初の 2 つが、カード詐欺師の使用する主な現金要素です。
1 つめは、ウェブサイトで暗号通貨かギフトカードを購入し、それらでクレジットカードを購入する方法です。カード詐欺師はビットコインを非常に手早く入手することができますし、実に簡単な方法です。
2 つめの方法は少し複雑ですが、日本での取引によく使用されます。
何をするかというと、カード詐欺師はクレジットカードを使用して、e コマースのウェブサイトで商品を購入し、彼らと提携関係にある現地の受取人に商品を送るようにします。
現地の受取人は手数料を取った上で、カード詐欺師にお金の一部をキックバックします。
さらに、現地の受取人はお金の一部をキックバックしてもらうため、商品を中国に送ります。
参照:「HITCON PEACE 2022」の資料(P.34)
「CODE BLUE 2022」の資料(P.40)
最近 2 年間ですと、詐欺師によって使用される新しいツールとして、TikTok や NFT のようなものもあります。
カード詐欺師は何をするかというと、クレジットカードを使用して TikTok コインを購入し、TikTok の悪質なインフルエンサーにギフトを贈ります。
この悪質なインフルエンサーはカード詐欺師と同一人物である可能性もあります。そのため、手数料を請求するのはカード詐欺師とは別の誰かである可能性もあるし、カード詐欺師本人である可能性もあるということは覚えておく必要があります。
また、NFT や電子書籍もマネーロンダリングに非常に適しています。
こうした行動パターンからわかることは、TikTok や NFT のようなプラットフォームでさえ、クレジットカードを使用するユーザーがカード詐欺師なのか、あるいはお気に入りのインフルエンサーにギフトを贈りたいだけのファンなのかを見分けるのは非常に難しいということです。
参照:「HITCON PEACE 2022」の資料(P.34)
「CODE BLUE 2022」の資料(P.41)
クレジットカードの限度額の試算
それでは、現金化の方法を決め、クレジットカードの限度額を試算してみましょう。
これらはクレジットカードの限度額を試算するためによく利用されてきた方法です。
1 つめは、クレジットカード情報から評価する方法です。
2 つめは、ソーシャルエンジニアリングによるもので、クレジットカード会社の会員制ウェブサイトにログインし、限度額がどれくらいあるか確認することも可能です。
参照:「HITCON PEACE 2022」の資料(P.35)
「CODE BLUE 2022」の資料(P.42)
クレジットカード情報によるクレジットカードの限度額の試算
次に、クレジットカード情報からクレジットカードの限度額を試算しましょう。
クレジットカード情報には、クレジットカードの限度額を試算することができる要素が主に 4 つあります。
1 つめは、クレジットカードの BIN コードです。
BIN コードを確認することで、クレジットカードのランクがわかります。
2 つめは、年齢です。
一般的に 1950 年から 1960 年までの間に生まれた人はより高い収入を得ていると言われています。
3 つめは、携帯電話番号です。
日本においては IP 電話と旧式の電話がありますが、IP 電話でないものはクレジットカードの限度額がより高い可能性があると言われています。というのも、旧式の電話は IP 電話よりも長期間にわたって使用されているからです。
最後は、クレジットカードの有効期限です。
なぜこれが重要かというと、クレジットカードは使用期間の長さに応じて、その信用度が高まる傾向にあるからです。
参照:「HITCON PEACE 2022」の資料(P.36)
「CODE BLUE 2022」の資料(P.43)
会員制ウェブサイトへのログインによるクレジットカードの限度額の確認
フィッシングメールでクレジットカードに紐づくアカウントやパスワードを詐取するカード詐欺師がいます。
一方で、会員制ウェブサイトにログインして、限度額がどれくらいあるか確認するカード詐欺師もいますし、標的とするユーザー用に新しいアカウントを登録するカード詐欺師もいます。
クレジットカード会社がユーザーにオンラインアカウントの登録を求めない場合、カード詐欺師はユーザーの個人情報に関してその項目(を入力する手間)を減らした上で、会員制ウェブサイトにログインし、クレジットカードの限度額がどれくらいあるかを確認します。
参照:「HITCON PEACE 2022」の資料(P.37)
「CODE BLUE 2022」の資料(P.44)
ソーシャルエンジニアリングによる OTP 認証の無効化
日本のクレジットカードのなかには OTP 認証を導入しているものもありますが、これを無効化する方法が 1 つあります。
それはソーシャルエンジニアリング、つまり、あなたがクレジットカードの所有者のふりをして、クレジットカード会社に電話し、クレジットカードの限度額がどれくらいあるか尋ねたり、あなたが所有する大量の電話番号に変更したりすることができます。
しかしながら、多くの中国のカード詐欺師は日本語が話せないため、(オペレーターと直接応対する必要がある)この方法は使いません。
参照:「HITCON PEACE 2022」の資料(P.38)
「CODE BLUE 2022」の資料(P.45)
携帯電話番号の未登録による OTP 認証の無効化
OTP 認証を無効化する別の方法は、クレジットカードの会員制ウェブサイトにログインして「携帯電話がない」という項目を選択することです。
そうすると、携帯電話番号(によるワンタイムパスワード認証)が自身が設定した 3D パスワード(による固定パスワード認証)に変わります。3D パスワードというのは、実際は固定のパスワードに過ぎません。
こちらはカード詐欺師によって提示されたクレジットカードの一例です。カード詐欺師は会員制ウェブサイトにログインしてアカウントを乗っ取り、携帯電話番号を無効化します。
参照:「HITCON PEACE 2022」の資料(P.39)
「CODE BLUE 2022」の資料(P.46)
OTP 認証を無効化する例
その他の例もお見せしましょう。
「携帯の電話番号はない」という項目があります。クリックしてみると、「パスワード」の部分が 3D パスワードの入力に変わるので、先ほどフィッシングによって詐取したパスワードを入力します。
参照:「HITCON PEACE 2022」の資料(P.40)
「CODE BLUE 2022」の資料(P.47)
カード詐欺師のバリューチェーン:カードの使用と現金化
最後に、カードを使用して現金化したいと思います。
参照:「HITCON PEACE 2022」の資料(P.41)
「CODE BLUE 2022」の資料(P.48)
転売しやすい商品を購入するためのカードの利用
特に中国では、転売しやすい商品の購入にクレジットカードがよく利用されます。
人気商品は電化製品,高級ブランドのバッグ,チケット,ギフトカード,中国で人気のある化粧品、その他いろいろです。
参照:「HITCON PEACE 2022」の資料(P.42)
「CODE BLUE 2022」の資料(P.49)
これはその一例です。
ディズニーランドのチケットを購入してネットで転売するのを好むカード詐欺師がいます。
驚くのは、東京ディズニーランドのチケットが実はタオバオ(淘宝)で安く手に入るということです。
同様に新幹線の乗車券を購入するカード詐欺師も見かけます。実際にタオバオでは新幹線の乗車券も 40% 引きで手に入ります。
参照:「HITCON PEACE 2022」の資料(P.43)
「CODE BLUE 2022」の資料(P.50)
受取人の住所の例
では、商品を購入しましょう。
カード詐欺師は彼らと提携関係にある現地の受取人に(詐取したカード情報で購入した)商品を送ろうと考えます。
商品を現地の受取人に送りたいふりをして、(カード詐欺グループの)マネージャーに相談すれば、配送先の住所のリストをくれるはずです。
なぜ 1 つの住所ではなく、住所のリストなのかというと、クレジットカードを使用する場合、被害者にできるだけ近い住所に偽装する必要があるからです。
被害者が沖縄にいる場合は、沖縄の住所を選択する必要があります。
この販売業者は常にクレジットカードの被害者の住所と一致するよう、個人を特定済みの日本の住所のリストを配布しています。
このスクリーンショットは実際にカード詐欺師から入手したものです。彼らは住所のリストを提供してくれました。左側をご覧ください。「ヤマモトタロウ」という名前で、名前の後に「2」が付いています。
彼らが他の販売業者と提携しているとしたら、おそらく「ヤマモトタロウ 1」もあるかもしれません。私が言いたいのは、このヤマモトさんという人はこの世界のどこかに実在するということです。
その下には「サンホンタイロウ」という名前があります。「サンホンタイロウ」となっていますが、一般的に日本にはそのような名前の人間はいないということくらいは私も知っています。
参照:「HITCON PEACE 2022」の資料(P.44)
「CODE BLUE 2022」の資料(P.51)
では、カード詐欺師に商品を送りましょう。カード詐欺師のクレジットカード決済システムには AVS(住所確認システム)によるチェックが存在します。
注文の受け付け後に配送先の住所を変更するカード詐欺師もいます。
e コマース企業やクレジットカード会社も住所くらいは確認しますが、それでも完全とは言えません。
そのため、AVS によるチェックを回避する方法としては、注文の受け付け後に配送先の住所を変更するというものがあるわけです。
注文の受け付け後に配送先の住所を変更する例
カード詐欺師について少し考察しましょう。
カード詐欺師は日本の変更可能な配送先はないかと質問しています。
一般的なサービスでは数キロの範囲でしか変更できないものの、クロネコヤマト(ヤマト運輸)なら数千キロ離れた場所に変更できるので、クロネコヤマトは非常によいと投稿している人がいます。
これは一部のカード詐欺師が大手の現金化事業者に提供したスクリーンショットです。
彼らは独自の配送管理システムを所有しています。
カード詐欺師は<この部分は発言が不明瞭で内容がわからず>、注文番号を入手します。
また、カード詐欺師は配送方法を指示しています。
カード詐欺師は担当の現金化事業者に伝え、現金化事業者は全ての配送プロセスをチェックします。
現金化事業者による説明責任の提示
一部の現金化事業者は自分がいかに有能であるかを見せることで自身の説明責任を示すことを好むようで、写真を見せようとします。スライドの中央の写真がそれです。
参照:「HITCON PEACE 2022」の資料(P.46)
「CODE BLUE 2022」の資料(P.55)
まとめ:カード詐欺師の現金化に関するファネル分析
以上がカードショップのエコシステムの冒険でした。では、少しまとめましょう。
カード詐欺師になるのは簡単ではありません。
被害者にメールを送信する必要がありますし、被害者にメールをクリックさせてクレジットカード情報を入力させる必要があります。
その後、クレジットカード情報を使用して商品を購入し、提携者あるいは現地の受取人に配送する必要があります。
その成功率がこちらです。
クレジットカード情報を詐取するためのフィッシングメールを配信する場合、所有するフィッシングキットにもよりますが、成功率は 0.01% ~ 0.1% 程度です。
次に、カードを使用する必要がありますが、ここでの成功率は 40% ~ 90% 程度です。
そして、製品を現地の受取人に配送する必要があります。ここでの成功率は 80% ~ 100% 程度です。
実際は安全そのものですが、時には中国語で地元の受取人に商品を送るよう指示されることもありますし、(商品を送っても)あなたに代金が支払われないこともあります。
以上から、全体の成功率は送信したメール 100,000 通、または 10,000 通につき 1 件程度、つまり、被害を被る人間が 1 人はいるわけです。
参照:「HITCON PEACE 2022」の資料(P.47)
「CODE BLUE 2022」の資料(P.56)
結論と課題
では、結論と課題です。
参照:「HITCON PEACE 2022」の資料(P.48)
「CODE BLUE 2022」の資料(P.57)
法的制裁を回避するための役割分担
バリューチェーンのなかには多くの段階があると述べましたが、それはとても複雑だからです。
そのため、通常、カード詐欺師はこれらのうち一部の仕事を担当しています。
こうした役割は 3 つに分けることができます。
1 つめは「フィッシャー」(フィッシングによってカード情報を詐取する者)、2 つめはクレジットカードを使用する「カードユーザー」(フィッシングによって詐取したカード情報を利用する者)、3 つめは「マネタイゼーションディーラー」(現金化事業者)です。
なぜこのようにするかというと、第一の理由は、(バリューチェーンが)あまりにも複雑であるため、一つの仕事に集中せざるを得ず、第二の理由は、役割を細分化することで、法的制裁をかなり回避しやすくなるからです。
私が知っているケースだと、日本の警察が現地の受取人の住所に出向いて、「なぜこうした違法な商品がこちらの住所に送られているのか?」と問い質しても、現地の受取人はただ「うーん、わかりません。友人が送ってきたので…」とか「このクレジットカードとやらで何が起きているかもわかりませんし…」と知らないふりをするだけです。彼らが法的制裁を避けるのは非常に簡単なことなのです。
参照:「HITCON PEACE 2022」の資料(P.50)
「CODE BLUE 2022」の資料(P.58)
まとめ:役割ごとの重要な成功要因
それでは、少しまとめます。
それぞれの役割ごとに重要な成功要因も若干異なります。
「フィッシャー」は、ハッカーに似ているというよりは、むしろハッカーに近い存在です。
彼らはメールアドレスのデータベースをダンプし、被害者にフィッシングメールを送る必要があります。
フィッシングキットも同様です。フィッシングキットを実際にセキュリティ研究者やセキュリティ企業の偽装行為に対抗するつくりにしたい場合は、高度なセキュリティルールを持った大量のソースコードを書く必要があります。
このスライドの右側にあるような「マネタイゼーションディーラー」(現金化事業者)であれば、日本全国から受取人を募集して雇用する必要があるので、こうした行為はビジネスに近いと思います。
また、商品を中国に送るには、物流の準備や発送のために豊富なキャッシュフローが必要になるので、どちらかというとビジネスマンに近い存在です。
「カードユーザー」が最も楽です。
たくさんのカードを試して、現地の受取人に商品が送られていることを確認するだけです。
参照:「HITCON PEACE 2022」の資料(P.51)
「CODE BLUE 2022」の資料(P.59)
利害関係者の協力による効果的な防衛
では、最後に、私たちは何をすべきでしょうか。
私たちはメール配信企業ではないので、こうしたバリューチェーンの上流で実際に何らかの対策を講じるのは困難です。
防衛できる部分はカードの利用と現金化の部分に対してだけでしょう。
参照:「HITCON PEACE 2022」の資料(P.52)
「CODE BLUE 2022」の資料(P.60)
SMS OTP 認証と 3D セキュア認証による顧客の保護について
顧客を保護するための最初のステップは、SMS OTP 認証を有効にすることです。
なぜ SMS が推奨されるのかというと、メールはメールアドレスが固定であるため、カード詐欺師は POP3 プロトコルを使用してメールボックスにログインすることで、認証情報を簡単に確認することができるからです。
たとえ認証のためにカード詐欺師にメールを送信したとしても、電話番号を入手しないかぎり、SMS を置き換えるのは非常に困難です。
だから、私は全てのクレジットカード会社と加盟店に対して、機器のフィンガープリント,タイムゾーン,ブラウザーの言語,ユーザーエージェント,配送先の住所,受取人の氏名、これらのうちいずれかが変更された場合に、SMS OTP 認証を行うことをお勧めしています。
高級な機械学習チームはデータサイエンティストと同じくらい非常にコストがかかるので、必要ありません。
私自身(データサイエンティストなので)どれほどコストがかかるか知っています。
このシンプルなルールにより、対面でカードを物理的に提示しないで済むタイプの詐欺に関して、クレジットカード詐欺を 60% 以上減らすことができます。
全ての利害関係者の協力による効果的で迅速な防衛
最後となりますが、この(スライドに記載している)支払いのプロセスには多くの利害関係者がいます。
銀行,発行銀行,加盟店,配送業者など、私たちはみな利害関係者であり、お互いに協力してクレジットカード詐欺を効率よく迅速に防ぐ必要があります。
ご清聴ありがとうございました。
参照:「HITCON PEACE 2022」の資料(P.53)
「CODE BLUE 2022」の資料(P.62, P63)
質疑応答
以下は私がチャットに投稿した質問と、それに対する発表者の回答です。
質問
ご紹介いただいたような中国語圏で活動している犯罪グループにおいて、日本語母語話者が犯罪活動に協力していると推測される事例を観測されたことはあるでしょうか。
回答
中国人との提携がほとんどですが、日本人との提携も数例あります。
1 つめのケースとしては、現地の受取人です。
現地の受取人からは、日本人の名を騙る中国人なのか、本当の日本人なのかはわかりません。住所を入力する際は、偽名を使用することができるため、私たちが見分けるのは非常に困難です。
2 つめのケースとしては、日本人と協力してクレジットカード会社に電話をかけ、ソーシャルエンジニアリングを行う事例がありました。
しかし、これは主流の事例ではありません。主流の事例としては、住所の変更を目的として、日本人に配送業者へ電話をかけてもらい、(カード詐欺師と提携している日本人は)被害者になりすまし、発信者,配送業者,コールセンターに住所の変更を求めるというものがありました。