ダークウェブの住人たちを襲う次世代の「プロキシ型」フィッシング詐欺

匿名通信ソフトの「Tor(トーア)」には、利用者のインターネット通信の発信元を特定しづらくさせるだけでなく、サーバーのIPアドレスも隠蔽することでサイトの物理的な所在地を不明にさせる「Hidden Service(秘匿サービス)」という機能が備わっています。

その機能を用いて構築されたウェブサイトには、2004年から存在する日本語では最古の「Onionちゃんねる」のような一般的な掲示板もあれば、かつて存在した「Silk Road」「AlphaBay」のような世界最大の闇市場まで、Torの高い匿名性によって法の制限を受けない違法なウェブサイトが今でも数多く存在しています。

現在、その闇市場の中でも最大の勢力を誇っているのが「Dream」という闇市場です。Dreamは2013年から存在する老舗の闇市場で、本ブログでも過去に当局の捜査をかく乱させようとする動きを取り上げています。

Dream Market
Dream Market

Dreamのみならず、ダークウェブの闇市場のほぼすべては会員制のサイトになっています。ユーザーがサイトを利用するためには従来のサイトと同じように会員登録を行い(だいたいの場合無料)、アカウントにひもづく「ウォレット」に仮想通貨でチャージし、出品されている違法薬物などの商品を購入します。メルカリやヤフオクで古本を買うのと流れは大して変わりません。

逆に出品したい場合は、一定額を支払うことで出品者となる権利を得ます。これはマーケット内での詐欺や低品質な商品の出品などを防ぐためと考えられます。

ここでポイントになるのが、ウォレットにチャージするという手続きです。ユーザーがほしい商品があるたびに所定額をウォレットにチャージし、購入するといった手続きが煩わしい場合には、一度に数万〜数十万をチャージすることもあるでしょう。また、購入者ではなく販売者の場合には、商品が売れた場合にはウォレットに売り上げ額が振り込まれます(このあたりはサイトによって違いがあるかもしれません)。

要するに、たいていのユーザーのウォレットにはある程度の資金が残っていることがあるということです。そしてダークウェブ上で活動する詐欺師たちはこれに目をつけ、これまでとは少し違ったやり方で仮想通貨を奪い取っていきます。

ダークウェブの犯罪者をターゲットにするフィッシング詐欺師

特殊な方法でしか入れないという壁がありながら、今でこそダークウェブの闇市場は世界中で一般の人々にも浸透しました。その理由は、いつの時代も人気の高いコカイン、MDMA、セックスドラッグなどの違法薬物を圧倒的に手軽で、安全に購入できるからです。しかし裏を返せば、そのような新規の顧客の中にはセキュリティ意識が低く、知識もほとんどない初心者もいるということです。

そこに目をつけた犯罪者らは、闇市場のユーザーに対するフィッシング詐欺を思いつくようになりました。

手口としては、従来のフィッシングと同じように闇市場のログイン画面を装ったフィッシングサイトを用意し、ユーザー名とパスワードを入力させ、さらに出金に必要なPINコードを追加で入力させて、これらの盗んだ情報でログインし、ウォレットに残った資金を自分の仮想通貨のアドレスに送金するというものです。

ダークウェブでの闇市場のフィッシングが注目されるようになったのは2014年ごろで、そのころに存在していた闇市場のいくつかはフィッシング対策としてPGPによる二段階認証を導入しており、これはあらかじめ登録しておいたユーザーの公開鍵でランダムに生成したログイン用のコードを暗号化し、これを復号するというものです。現在も多くの闇市場で採用されています。

2016年には、闇市場のフィッシングサイトを開設し、ユーザーのBitcoinを盗んでいたコネチカット州に住む当時34歳の男が逮捕されました。男は、このフィッシング詐欺によって総額36万5000ドル(約4000万円)分のBitcoinを得たことを認めています。

具体的なデータは提示できませんが、私が個人的に観察している部分でも、前出の男の摘発以降もダークウェブ内のフィッシングサイトは増加の一途をたどっているように感じられます。そしてこのフィッシングブームをさらに象徴づけるものが、昨年投稿されたある記事になります。

自称「1億円稼いだ」大物フィッシング詐欺師

昨年7月、ダークウェブの大手情報サイト「DeepDotWeb」に、「Interview with a Top Alphabay Accounts Phisher(AlphaBayアカウントを盗む大物フィッシング詐欺師へのインタビュー)」という記事が投稿されました。内容は、冒頭で紹介した当時最大の闇市場「AlphaBay」のユーザーに対してフィッシングを仕掛ける詐欺師へのインタビューで、自身を「PhishKingz」と名乗るその詐欺師は、昨年の間にAlphaBayのフィッシングで約1億円をも稼いだと豪語し、自らの手口をつまびらかに語っています。

PhishKingzは昨年10月にも大手闇市場だった「TradeRoute」に対してセキュリティ上の脆弱性を見つけたことをネタに脅迫を行い、最終的に閉鎖にまで追い込む騒動を起こしており、ダークウェブ界ではかなり悪名高い人物です。

そしてこのPhishKingzが仕掛ける次世代のフィッシング詐欺の手口こそが、本記事でもっとも注目するポイントになります。

「プロキシ型」に変わりつつあるダークウェブのフィッシング詐欺

これまでダークウェブ上で起きていたフィッシング詐欺のページは、先に述べたように当初は簡易的なものでした。おそらくはPhishKingzも同じようなものを用意していたことはあるでしょう。そういったものでは、たとえばその偽サイトで会員登録やログインしたりということはできません。しょせん偽のページなので、本物に対して変更が加えられないのは当然だからです。もっとお粗末なものだと、CAPTCHA(画像認証)で書かれている文字がページを更新しても全く同じものが表示されていました。それもそのはず、オリジナルのCAPTCHAの画像を保存してそれがアップロードされていただけだからです。

しかし、現在PhishKingzが仕掛けていると思われるフィッシングサイトを調べていくと、これまでのフィッシングの手口とは一線を画す作りとなっていることがわかりました。通常のフィッシング詐欺がシンプルな偽ページを用意するやり方であるならば、こちらは「プロキシ型」と言えます。

ダークウェブ上で行われるプロキシ型のフィッシング詐欺がどのようなものかというと、偽のページを用意してユーザーが送信した情報を窃取することは従来のやり方と変わりませんが、詐欺師はこれを秘匿サービス上で開設し、この偽ページにプロキシの役割を持たせます。これは、閲覧者から送られたデータを本物のサイトにそのまま送りつけ、サーバーから返ってきたデータも閲覧者そのまま返すというものです。そのように通信を媒介することで、従来のフィッシングサイトでは成しえなかった本物のサイトの機能を完全にコピーすることが可能になります。

次世代の「プロキシ型」フィッシング詐欺の流れ
次世代の「プロキシ型」フィッシング詐欺の流れ

これの何が詐欺師にとってメリットなのかというと、自分の用意した偽ページに本物と違いのない動作をさせることで、閲覧者に本物のサイトだと思わせることができます。フィッシングかどうかを警戒してアドレスバーにあるSSL証明書を確認する人もいるかもしれませんが、一部を除いて秘匿サービスのドメインである “.onion” のためにSSL証明書は用意されていません。またOnionドメインは “3g2upl4pq6kufc4m.onion” のようなランダムな文字列になっており覚えることが困難なため、詐欺師は先頭の数文字だけ同じにしたOnionドメインを生成して元のサイトにほぼ完全になりすましたフィッシングページを作ることもあります。

「PhishKingz」が実際に使っていたフィッシングキット

ここで、私が関係者から入手したPhishKingzが実際に使用していたというお手製のスクリプトを紹介します。このキットの構成はプロキシをメインにごくごくシンプルな作りとなってはいますが、オリジナルのサイトの機能を損なわずに動作します。

フィッシングキットのファイル一覧
フィッシングキットのファイル一覧
フィッシングキットのPHPスクリプト1
フィッシングキットのPHPスクリプト1

上のスクリプトにあるcURLの関数では、受け取ったデータをそのまま送るための処理を行っています。接続にはTorのSOCKS5プロキシを経由することで、Onionのサイトにもアクセスできるようにしており、Cookieなども本物のサイトから送られてきたものを閲覧者に保存させ、リクエストがあればそれをサーバーに送ります。

フィッシングキットのPHPスクリプト2
フィッシングキットのPHPスクリプト2

通信を媒介してセンシティブな情報を盗みだすだけでなく、このスクリプトではさらにページに表示されるBitcoinのアドレスも自らの所有するアドレスに書き換える処理を行っています。こうすることで、ユーザーが闇市場のウォレットにBitcoinをチャージしようとする際にそれを盗むことができます。

フィッシングページでBitcoinアドレスが書き換えられる
フィッシングページでBitcoinアドレスが書き換えられる

画像左は本物のDreamのサイト内でチャージする際に表示されるアドレスです (“Your bitcoin (BTC) address” とある部分)。これが画像右では “1” から始まるアドレスに書き換わっています。

このように、センシティブな情報の摂取とアドレスの書き換えによって、PhishKingzをはじめとしたダークウェブのフィッシング詐欺師はBitcoinを盗んでいきます。

以下はPhishKingzが所有していると考えられるドメインのリストです。

  • onion[.]top (ICANNあるいはレジストリによって既に凍結)
  • onion[.]rent
  • onion[.]gold
  • 7ep7acxamamz3k5j[.]onion

これこそがダークウェブが無法地帯と言われる理由

よくダークウェブについて、そこは卓越したスキルを持つ人たちが集う本物のアンダーグラウンドな空間で、いつ私たちを襲ってくるかわからない、だからこそ危険なダークウェブには決してアクセスしてはならない……そのようなイメージを持つ人もいるでしょうが、ダークウェブと言っても何らかの組織などではありませんから、その中にいる人たちが一枚岩ということはありません。

昨年10月には、別のハッカーによって開設から半月たたずの闇市場がハッキングされるということも起きています。これ以外にも、闇市場のハッキングは何件も発生しています。

自分は大丈夫だと安心しきったような人々が、ダークウェブの住人であろうが関係なくただ金を奪い取ることだけを考えているPhishKingzのような詐欺師に狙われるのです。

法の制限を受けない場所にいるということは、自分も被害を被る立場にいるということです。

投稿をシェア

“ダークウェブの住人たちを襲う次世代の「プロキシ型」フィッシング詐欺” への3件の返信

コメントを残す

メールアドレスが公開されることはありません。