ブラックフライデーを狙ったサイバー詐欺

米国時間2022年11月23日に掲載されたフォーティネットブログの抄訳です。

影響を受けるプラットフォーム：　すべてのOS
影響を受けるユーザー：　　　　　オンラインショッピングの利用者
影響：　　　　　　　　　　　　　個人情報（PII）や金銭の損害
深刻度：　　　　　　　　　　　　低

2022年も終わりに近づき、この1年における世界各地での劇的な変化や拡大する脅威環境を振り返ると、2023年の行く末に不安を感じます。とはいえ、多くの人が待ち望んでいたシーズンも間もなく始まります。人々はホリデーシーズンの到来を心から喜び、他の心配事から解放されます。そのため、これから各種のイベント当日までは購買意欲が高まり、買い物客は1人当たり平均998ドルを消費すると予想されています。

小売店もまた、1年のこの時期に期待を寄せています。多くの店舗が、今後数週間で年間収入の約3分の1を売り上げます。そして残念ながら、これはサイバー犯罪者にとっても同じです。FBIによると、毎年のホリデーシーズンには、サイバー詐欺による消費者被害が数億ドルに上ります。このブログでは、ブラックフライデーを狙ったサイバー攻撃の中から、注目を集めている2つの事例を取り上げます。一つは古いPDFファイル、もう一つはタイポスクワッティングを利用した攻撃です。

流行は繰り返す

サイバー犯罪者は、より多くの被害者を見つけるために日頃から新しい方法を考えていますが、FortiGuard Labsが先日発見したPDFファイルは、必ずしもそうではないことを示しています。

「walmart_black_friday_11_14_20.pdf」というファイル名が示すとおり、これは2020年以降のファイルのようです。ただし、このファイルがVirusTotalに提出されたのは2022年11月初旬です。

PDFの1ページ目には、人間であることを証明する「I’m not robot（私はロボットではありません）」[sic] CAPTCHAのみが表示されています。

2ページ目には、大量の文がびっしりと書き込まれています。この形式は、昨年のフォーティネットブログ「ブラックフライデー詐欺が迫る：オンラインショッピング利用者は注意を」で取り上げたPDFファイルと似ています。その攻撃ではリダイレクトが機能しませんでしたが、今回のPDFでは「チェックボックスをクリックするだけ」でリダイレクトが実行されました。

このチェックボックスは最初のページにあるため、受信者がチェックボックスをクリックしさえすればリダイレクトが実行されます。ユーザーは下方向へ文書をスクロールしない限り、メッセージを目にすることはありません。昨年のPDFが再利用された理由は、無頓着なユーザーがファイル名をあまり気にしないからかもしれません。

ユーザーは、最初にWebサイトleonvi[.]ruへ、次に偽のAmazonサイト「loyalty program」へリダイレクトされます。後者のサイトは、アンケート調査のためそのユーザーが無作為に選出されたことを通知します。また、ユーザーにはアンケート終了後にiPhone 13 Proを獲得できるチャンスがあることも伝えています。興味深いことに、このメッセージの日付は11月18日、すなわちFortiGuard Labsの調査が実施された日です。そして、我々がこの詐欺を調査している間、leonvi[.]ruからのリダイレクトは停止していました。これら2つのイベントはユーザーの操作に反応していると思われ、古いPDFやリダイレクトの手口が現在も有効であることを証明しています。iPhone 13 Proは2021年10月にリリースされ、すでに新しいモデルが発売されていますが、最近のインフレやApple製品の価格を考えれば、罠として十分に活用できるでしょう。

アンケートそのものは単純で、性別、年齢、Amazonでの買い物の頻度、Amazonサービスに対する評価を尋ねられます。

すべての質問に回答すると、12個のギフトボックスの中からiPhoneを引き当てるチャンスが3回与えられます。

iPhoneを引き当てたユーザーは、1ユーロの支払いと発送先住所の入力を求められます。

攻撃がユーザーの操作に反応するだけでなく、リダイレクトでは位置情報も認識されるようです。たとえば日本からのアクセスは、偽のAmazonアンケートサイトではなく、ライブチャットサービスの「location aware」にリダイレクトされます。

幸い、この攻撃による被害は比較的軽いものです。ただし攻撃者がその気になれば、同じ攻撃でマルウェアのドロップ、不正なアプリケーションの読み込み、脆弱性のエクスプロイトなどを実行することができます。

タイポスクワッティング

タイポスクワッティングは、ユーザーが間違って入力したURLを利用するサイバー攻撃です。

たとえば、blackfriday[.]comは正当なWebサイトであり、ユーザーはこのサイトを使用してAmazon、BestBuy、Walmartなど、多数の有名なショッピングサイトでブラックフライデーの広告を閲覧できます。similarwebによると、10月のblackfriday[.]comの訪問者数は270万人に上りました。訪問者数は、ブラックフライデーが近づくにつれて増加すると予測されます。サイバー犯罪者にとって、この機会を見逃す手はありません。

「blackftiday[.]com」にアクセスすると、訪問者はオンライン宝くじのようなサイトにリダイレクトされますが、これはブラックフライデーと何の関係もありません。

他にblackfriday[.]comのスペルミスを利用した事例としては、nlackfriday[.]comがあります。このサイトにアクセスしたユーザーは、totalav[.]comにリダイレクトされます。これはセキュリティソリューションソフトウェアのWebサイトで、攻撃者の目的は、正当なアフィリエイトトラフィックやクレジットを生成することであると思われます。

FortiGuard Labsのデータベースによると、nlackfriday[.]comは2016年11月に作成されており、このリダイレクトを操作している攻撃者は、少なくとも6年間ブラックフライデーのタイポスクワッティングを利用していることになります。攻撃者はリダイレクト先を自由に選択できるため、これまでにも不運な訪問者が、知らないうちに攻撃者のためのアフィリエイトトラフィックを作成したり、マルウェアの標的にされたりした可能性があります。

Slickdeals（slickdeals[.]net）は、blackfriday[.]comとよく似たもう一つのWebサイトです。このサイトでは、多数のオンラインショッピングサイトから広告や取引を収集しています。FortiGuard Labsのデータベースによると、Slickdealsのビジネスは23年間にわたっています。Slickdealsは、ブラックフライデー専用の「blackfriday[.]slickdeals[.]net」というサブドメインも所有しています。

similarwebによると、10月のslickdeals[.]comとblackfriday[.]slickdeals[.]comの訪問者は、それぞれ6,160万人と14万8,800人でした。こうした数字が、これらのドメインでタイポスクワッティングを悪用する動機を攻撃者に与えています。

FortiGuard Labsの調査では、blackfriday.slickdelas[.]netにアクセスすると、Webブラウザ「Chromnius」をインストールするよう求められました。

Chromniusブラウザのオンラインレビューは、賛否両論に分かれています。中には、ホームページ（スタートページ）や検索エンジンの乗っ取りを理由に、このブラウザはPUP（潜在的に迷惑なプログラム）であると考える人もいます。FortiGuard Labsの調査でこうした乗っ取り行為は確認されませんでしたが、別の問題が判明しました。検索を行うためChromniusのアドレスバーに検索条件を入力したところ、数回リダイレクトされたのち、最後にYahooで検索が実行されたようです。

確認されたリダイレクトの内容は次のとおりです。

• 1回目の検索：chromnius[.]com/results.php?...[search term]… ->
• 1回目のリダイレクト：zipsearch[.]xyz/apiv2/bosy/search?p=[search term] ->
• 2回目のリダイレクト：
  search[.]onlinegamezone[.]club/chrome/newtab/search.aspx?q=[search term]&… ->
• Yahooでの正規の検索

さらに奇妙なことに、我々が行ったzipsearch[.]xyzとsearch[.]onlinegamezone[.]clubの2件の検索は、Chromniusの閲覧履歴に残っていませんでした。それらのURLを確認できたのは、オートコンプリートで表示されたからです。

Chromniusの開発者がなぜこのような検索機能を設計したのかは不明ですが、Chromniusはアフィリエイトのリダイレクトに対する報酬を受け取っている可能性があります。

結論

毎年ホリデーシーズンになると、サイバーグリンチが最新の詐欺や手法を用いて、購買意欲の高まっている買い物客を騙そうと活発に活動します。ただし攻撃者たちは、普段は旧式でありふれた手法を使用して新たな被害者を探しています。

eコマース詐欺から身を守るための注意事項を以下に示します。これらのベストプラクティスは随時利用すべきですが、特に重要な点は、気が緩みやすいオンラインショッピングシーズンに警戒を怠らないことです。

• デューデリジェンスを実施し、フォントの不一致、不揃いな色使い、使用言語の変更、価格の違い、説明文のばらつきなど、Webサイトに矛盾する点がないか調査してください。
• WHOIS情報をチェックし、ドメインの存在期間を確認してください。新しく作成されたドメインには特に注意してください。
• 入力ミスや文法を確認してください（大半の企業はコピーエディターを採用しているはずです）。
• なりすましの被害が疑われる企業には、商品を購入する前にEメールを送信してください。
• 格安商品であっても衝動買いはしないでください。格言にもあるように、上手い話には裏があります。
• パニックに陥らないでください。自分が詐欺の被害に会っていると思う場合は、直ちにクレジットカード会社に連絡し、詐欺の可能性があることを伝えてください。

フォーティネットのソリューション

フィッシングに使用されるPDFファイルの「walmart_black_friday_11_14_20.pdf」は、アンチウイルスシグネチャ「PDF/Phish.5E08!tr」によって検知されます。

FortiGuard Labsは、このブログで取り上げたChromniusブラウザを「リスクウェア / Chromnius」として検知します。

Webフィルタリングは、このブログで解説した偽のAmazonアンケートサイトとタイポスクワッティングサイトをブロックします。

IOC（Indicators of Compromise：侵害指標）

• b3f691d3a768715898bdee25835259585d3a8c708251ddf829ad011379af558f (almart_black_Friday_11_14_20.pdf)
• 1811[.]mmpairtap[.]live（偽のAmazonアンケートサイト）
• blackftiday[.]com（タイポスクワッティング）
• nlackfriday[.]com（タイポスクワッティング）
• 961a53089f14c69061c3e156bf279550fb108f8023cc54e1086343eca6d3c437（Chromniusブラウザインストーラー）

ブランドやお客様を保護する必要がある小売業者様には、フォーティネットブログの最新記事、「Tis the Season for Cyberattacks. Retailers:Here’s How to Protect Your Brand（サイバー攻撃の季節到来：小売業者がブランドを守るには」および「Safe Online Shopping Best Practices（安全なオンラインショッピングのベストプラクティス）」を読むことをお勧めします。また、デジタルリスク保護サービス（DRPS）を利用すると、ブランドのデジタル資産をプロアクティブに監視してリスク分析を行い、攻撃者の考え方を把握することができます。これにより、セキュリティチームは脅威が現実の攻撃となる前に、それを阻止することができます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuard AI活用セキュリティのサービスポートフォリオをご参照してください。

フォーティネットのTraining Advancement Agenda（TAA）のイニシアチブである無料のサイバーセキュリティトレーニング、またはFortinet認定ネットワーク セキュリティ エキスパートプログラム、Security Academyプログラム、およびVeteransプログラムの詳細を参照してください。FortiGuardLabsのグローバル脅威インテリジェンスおよびリサーチ、FortiGuardセキュリティサブスクリプション / サービスのポートフォリオの詳細も参照してください。