脅威リサーチ
ラグビーワールドカップの無料ストリーミングは反則のサービス
さまざまな戦略を駆使してイベントの視聴者を狙っています。現在日本で開催されているラグビーワールドカップも、このようなイベントの1つです。アジアまで足を運べない多くのファンが、無料のストリーミングサービスやスポーツアプリケーションのダウンロードを利用して、お気に入りのチームに関する最新情報にアクセスしています。ところが、残念ながら無料のサービスほど高く付くものです。
私たちは先頃、FortiGuard Labsのドメインデータフィードの調査中、不審なサイト(rugbyworldcup[.]xyz)を発見しました。これは、ワールドカップの無料ライブストリーミングを宣伝するサイトでした。Webサイトのリンクをたどっていくと、クレジットカード情報の入力を求める詐欺サイトに行き着きました。無料を謳っているにもかかわらず、実は無料ではありませんでした。
rugbyworldcup[.]xyzの調査中、動的なリダイレクターであるsports99[.]clubにアクセスしたところ、動画、音楽、eBookを無料で提供する無料サービスサイトがさらに見つかりました。
独自仕様のシーケンシャルログ分析をテレメトリデータで実行したところ、さらに「無料」のサービスをいくつか発見することができました。見つかったサービスをテストした結果、すべてが同じスキームを共有していることがわかりました。
- 無料サービスのプロモーションを行う宣伝サイト
- 無料動画の視聴とダウンロード
- 無料eBookのダウンロード
- スポーツの生中継の無料視聴
- 宣伝サイトが、1つまたは複数のアフィリエイトネットワークにリンク、または「無料」と謳うサービスサイトにユーザーを誘導します。
- 無料サービスサイト(広告サイト)が、メールアドレスとパスワードを入力してアカウントを作成するようにユーザーを促します。
- 無料サービスサイトは、入力されたユーザー情報を1つまたは複数の外部サイトと共有し(一部は平文で転送していました!)、ユーザーを最終的なアカウント確認サイトに誘導します。
- アカウント確認サイトでは、アカウントの「確認」という名目で、クレジットカード情報の入力を促します。ユーザーがクレジットカード情報を送信しないと、無料アカウントは作成されません。
- 「サービスを無料で提供しているはずの会社からクレジットカードの請求が行われるのは不正だ」というユーザーのオンラインレビューからも、これが詐欺サイトであることがわかります。
調査中に発見された不審なサイトを、以下にいくつか示します。
不審なスポーツ広告サイト1:
alllivesport[.]com
(広告サイト)
- hxxps://rugbyworldcup[.]xyz/#Rugby_World_Cup_2019_Teams
- hxxps://2019rugbyworldcup[.]online/
- hxxp://rugbychampionship2019[.]info/live/
=>(アフィリエイトサイトにリダイレクト)
- hxxp://www.affforce[.]com/scripts/un981c6l?a_aid=d022be2e&a_bid=70104349
=>(詐欺の可能性があるランディングページ、偽情報で無料アカウントを作成)
- hxxps://alllivesport[.]com/sp2/?bg=rwc2019.jpg&a=2&clickid=5d850ce60a5df4000155f4b3&pubid=8922&q=WATCH%202019%20RUGBY%20WORLD%20CUP%20LIVE
=>(ユーザーが入力した情報をfastplayz[.]comと共有)
- hxxps://fastplayz[.]com/registration?theme=allsports-direct&v_id=463adf18-fa93-4d81-fc8e-db1ab8337ec4&info=eyJ1c2VybmFtZSI6InRlc3RAaG90bWFpbC5jb20iLCJwYXNzd29yZCI6IklhbUFQYXNzd29yZCJ9%3D&a_aid=864kjuyuio54&page=allsports-direct&clickid=5d850ce60a5df4000155f4b3&pubid=8922
注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。
Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}
=>(クレジットカード確認ページ)
- hxxps://fastplayz[.]com/subscriptions/checkoutaff/allsports-direct
不審なスポーツ広告サイト2:
live-sport-streams[.]com
このサイトは、alllivesport[.]comに酷似しています。
(宣伝サイト)
- hxxps://rugbyworldcup[.]xyz/
- hxxps://www.rugbyworldcupjp[.]com/live/
=>(動的なリダイレクター1)
- hxxps://sports99[.]club/tuname.php?&d=1&z=31672&lpage=s-dual-rugby&c_bg=%2F%2Fimg.codes%2FuftjcYhic&c_img1=%2F%2Fimg.codes%2F4LmsIiQic&q=Rugby+World+Cup+Japan+2019+Live+Stream
または
=>(動的なリダイレクター2)
- hxxps://www.affforce[.]com/scripts/un981c6l?a_aid=d022be2e&a_bid=d8ec0a95
=>(詐欺の可能性があるランディングページ、Eメールアドレスとパスワードで無料アカウントを作成)
- hxxps://live-sport-streams[.]com/9375-5-d5cecf7a/signup-dual/rugby/#/z=47401/dp=3479603723.537103.287de6b56d.31672.5a7af23a64dbdb158e830c9b8a56e98f/c_bg=%2F%2Fimg.codes%2FuftjcYhic/c_img1=%2F%2Fimg.codes%2F4LmsIiQic/c_img2={c_img2_enc}/q=Rugby+World+Cup+Japan+2019+Live+Stream/
=>(ユーザーが入力した情報をgamepopz[.]comと共有)
- hxxps://gamepopz[.]com/registration?theme=allsports-direct&v_id=ef789c59-a352-0539-4ade-fd39382dc784&info=eyJ1c2VybmFtZSI6InRlc3RAaG90bWFpbC5jb20iLCJwYXNzd29yZCI6IklhbUFQYXNzd29yZCJ9&page=allsports-direct&pubid=47401&clickid=3479603723.537103.b911a2a2f5.31672.e9f57fe10e56cad9b34aa4ccb14a326c&a_aid=514b2121ef654
注:URL情報パラメータには、 入力したメールアドレスとパスワードがBase64でエンコードされた状態で含まれています。
Base 64デコードによって生成:{"username":"test@hotmail[.]com","password":"IamAPassword"}
=>(クレジットカード確認ページ)
- hxxps://gamepopz[.]com/subscriptions/checkoutaff/allsports-direct
不審な電子ブック広告サイト:best-online-books[.]com
このサイトは、ユーザーが新たに作成したアカウントの情報を、平文で他のサイトと共有します。
(広告サイト)
- hxxps://get-ebooks[.]club/book/3.Harry_Potter_and_the_Sorcerer_s_Stone
- hxxps://best-online-books[.]com/9375-4-1ce92b4a/signup-spry/#/z=46801/dp=3479603723.537428.2c19c4bf94.31267.680a50433aab8811514339d8a244cfd3/q=Harry+Potter+and+the+Sorcerer%27s+Stone/
=>(ユーザーが新たに入力した情報を他のサイトと平文で共有)
- hxxps://email.perfectvalidation[.]com/push/?trafficsource=MH&email=test%40hotmail[.]com&zoneid=46801&clickid=3479603723.537422.3c26400f88.31267.064ed18a92f851ae8c940e181f450dd0&tags%5B%5D=books&query=Harry%20Potter%20and%20the%20Sorcerer%27s%20Stone
- hxxp://runslin[.]com/?email=test%40hotmail[.]com&password=IamAPassword&a_aid=MhB&data3=&data4=pc&a_bid=b7920773&data1=46801&data2=3479603723.537422.3c26400f88.31267.064ed18a92f851ae8c940e181f450dd0
- hxxps://vibeall[.]com/joinnow/step2.php
または
- hxxps://viewhall[.]com/joinnow/step2.php
この2つのWebサイトは酷似しています。
- hxxps://www.scamadviser[.]com/check-website/viewhall[.]com
- hxxps://www.scamadviser[.]com/check-website/vibeall[.]com
類似しているランディングページ
いくつかのランディングページが同じ無料のアカウントテンプレートを使用しているようです。これは、同じ犯罪者グループが関与している可能性を示唆しています。
alllivesport[.]comのランディングページ
![Landing page of alllivesport[.]com](/jp/blog/threat-research/free-rugby-world-cup-streaming-foul-play/_jcr_content/root/responsivegrid/image_846513891.img.png/1603905524925/rugby-eight.png)
movie-streams-online[.]comのランディングページ
詐欺の可能性があるIOC
無料サービスの広告サイト
hxxp://ebook0919a2b[.]club/
hxxp://epicofebook[.]com/
hxxps://spinbook[.]net/
hxxps://mediabks[.]com/
hxxps://www.nwcbooks[.]com/
hxxp://find-files[.]com/
hxxps://just-watch-it[.]com/
hxxps://allsports4free[.]live/
hxxps://rugbyworldcup[.]xyz/
hxxps://2019rugbyworldcup[.]online/
hxxp://rugbychampionship2019[.]info/live/
無料ストリーミングのランディングページ
hxxps://movie-streams-online[.]com/
hxxps://live-sport-streams[.]com/
hxxps://allsports4free[.]live/
無料eBookのランディングページ
hxxps://coreplays[.]com/
hxxps://best-online-books[.]com/
hxxps://vibeall[.]com/
hxxp://ebook0919a2b[.]club/
動的なリダイレクタードメイン
74lhpp2gt696[.]com
97oxono2oszo[.]com
a1qrfcnpvgbonol[.]com
ahf8n[.]com
book88c[.]club
cbegnypbairlnaprvv[.]com
checkebooks[.]download
crsrva24yz9s0[.]com
d10e2mfu67ch[.]com
dl11a[.]club
downloadplayer[.]xyz
ebooksonline[.]site
eecain7y[.]com
eecain7z[.]com
get-movies[.]club
get-sports[.]club
good-read[.]club
ing6liey[.]com
live-sports[.]me
mlb-streams[.]club
movie-plex[.]club
moviesfree[.]site
ms3t[.]club
nagubalnqfvi[.]com
ohmoo7ie[.]com
qnirnqfvi[.]com
qnirqryvirelv[.]com
recommendedforyou[.]xyz
rei6ohka[.]com
secure2t5z3[.]com
seyai0ui[.]com
shil8[.]com
soccer-streams[.]club
sports99[.]club
streamsportslive[.]online
taew5[.]com
ue3zaini[.]com
vod78d[.]club
wnzvrqryvirelv[.]com
xl415[.]com
xmediaserve[.]com
xoyoun5j8yzi[.]com
yxyug24kwhqe[.]com
zeezi4ei[.]com
動的にリダイレクトするURL(クエリパラメータを削除)
hxxp://74lhpp2gt696[.]com/tuname.php
hxxp://97oxono2oszo[.]com/tuname.php
hxxp://a1qrfcnpvgbonol[.]com/tuname.php
hxxp://ahf8n[.]com/tuname.php
hxxp://cbegnypbairlnaprvv[.]com/tuname.php
hxxp://checkebooks[.]download/tuname.php
hxxp://d10e2mfu67ch[.]com/tuname.php
hxxp://eaudio.checkebooks[.]download/tuname.php
hxxp://ebooks.checkebooks[.]download/tuname.php
hxxp://eecain7y[.]com/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://epdf.checkebooks[.]download/tuname.php
hxxp://epud.checkebooks[.]download/tuname.php
hxxp://eread.checkebooks[.]download/tuname.php
hxxp://fb[.]downloadplayer[.]xyz/tuname.php
hxxp://ing6liey[.]com/tuname.php
hxxp://nagubalnqfvi[.]com/tuname.php
hxxp://ohmoo7ie[.]com/tuname.php
hxxp://qnirnqfvi[.]com/tuname.php
hxxp://qnirqryvirelv[.]com/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://secure2t5z3[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://www.xl415[.]com/tuname.php
hxxp://www.xoyoun5j8yzi[.]com/tuname.php
hxxp://www1.xmediaserve[.]com/tuname.php
hxxp://xoyoun5j8yzi[.]com/tuname.php
hxxp://yxyug24kwhqe[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php
hxxp://book88c[.]club/tuname.php
hxxp://crsrva24yz9s0[.]com/tuname.php
hxxp://dl11a[.]club/tuname.php
hxxp://ebooksonline[.]site/tuname.php
hxxp://eecain7z[.]com/tuname.php
hxxp://fb.get-movies[.]club/tuname.php
hxxp://fb.get-sports[.]club/tuname.php
hxxp://fb.good-read[.]club/tuname.php
hxxp://fb[.]live-sports[.]me/tuname.php
hxxp://fb.mlb-streams[.]club/tuname.php
hxxp://fb.movie-plex[.]club/tuname.php
hxxp://fb.recommendedforyou[.]xyz/tuname.php
hxxp://fb.soccer-streams[.]club/tuname.php
hxxp://moviesfree[.]site/tuname.php
hxxp://ms3t[.]club/tuname.php
hxxp://rei6ohka[.]com/tuname.php
hxxp://seyai0ui[.]com/tuname.php
hxxp://shil8[.]com/tuname.php
hxxp://sports99[.]club/tuname.php
hxxp://streamsportslive[.]online/tuname.php
hxxp://taew5[.]com/tuname.php
hxxp://ue3zaini[.]com/tuname.php
hxxp://vod78d[.]club/tuname.php
hxxp://wnzvrqryvirelv[.]com/tuname.php
hxxp://zeezi4ei[.]com/tuname.php
リダイレクターのホスティングIP
168.88.170.2
172.217.28.108
172.31.53.140
172.96.187.211
179.43.176.163
198.19.97.17
209.85.202.211
209.99.40.222
209.99.40.223
216.58.223.236
37.1.202.16
37.1.223.152
62.217.251.222
67.227.226.240
78.140.181.169
78.140.181.183
78.140.181.188
78.140.190.230
このように、無料ストリーミングWebサイトには巧妙な仕掛けが施されている可能性があるため、注意が必要です。「ラグビーワールドカップの無料ストリーミングサイト」というキーワードでインターネット検索を行うと、1億1,000万ものWebサイトがヒットします。その多くが不審なサイトであり、マルウェアが仕込まれている危険があります。スポーツをオンラインで視聴する場合には、正規の有料ストリーミングサービスの利用をお勧めします。
FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英語)を毎週お届けしています。ぜひご購読ください。
セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。
