Amazon、Apple、DMM、エポスカード、JAバンク、PayPay、佐川急便‥‥よく知られた企業の名前を騙って毎日のように送られてくるお馴染みのフィッシングメール。実は中国のフィッシングプラットフォームを使って送られていることがGoogle脅威インテリジェンスグループの報告によって明らかになりました。
日本を狙っている「YY Lai Yu」
Google脅威インテリジェンスグループの報告によると、「YY Lai Yu」は2024年8月から中国語圏の攻撃者を対象に「販売」されているフィッシング・アズ・ア・サービス(Phishing as a Service)だということです。Phishing as a Serviceはランサムウェア攻撃におけるRaaS(Ransomware as a Service)、サイバー恐喝におけるEaaS(Extortion as a Service)と同様にサイバー犯罪ビジネスとしてフィッシングプラットフォームを攻撃者に提供する「サービス」です。
YY Lai Yuが攻撃の対象としてサポートしている国は119カ国に及ぶようですが、特に日本に重点を置いており、攻撃者が日本の消費者エコシステムを効果的に標的にするために必要なインフラを提供しているということです。例えばYY Lai Yuは400種類以上のフィッシングテンプレートを提供しているということですが、それらテンプレートには日本語や日本のブランドが含まれており、しかも、ポイントや特典交換を誘い文句にするなど消費者の習慣を巧みに悪用し、日本の経済状況や消費実態を踏まえた地域密着型のキャンペーンにステルス性を加味したものになっているということです。実際にYY Lai Yuフィッシングテンプレートを使って攻撃されている国は圧倒的に日本が多く、2番目のアメリカの倍を超える攻撃が日本に対して行われているようです。
デジタルウォレットのプロビジョニングを悪用
Google脅威インテリジェンスグループの報告によると、YY Lai Yuは顕著に日本などを狙ったPhaaSですが、中国のPhaaSの全般的な傾向としては世界中にネットワークを広げており、多様な国際市場向けにローカライズされたコンテンツを生成できる高度に自動化されたモデルへと移行しているということです。PhaaS市場はこれまでロシア語圏の脅威アクターが支配していたということですが、中国語圏のアンダーグラウンドにおいて急速にPhaaSが成長している実態があるようです。しかし、中国語圏のPhaaSはロシア語圏のPhaaSと比較すると、ロシアのPhaaSが大企業の顧客を標的にしているのに対して中国のPhaaSは一般市民を標的にするように設計されており、中国のPhaaSの運営者はセキュリティをあまり気にしておらずテレグラムに自身の豪華なライフスタイルの写真を投稿するなどオープンな活動が伺えるということです。
中国PhaaSの特徴としてGoogle脅威インテリジェンスグループは、盗んだ決済情報を収益化するためにデジタルウォレットのプロビジョニングを悪用することを指摘しています。つまり、窃取した認証情報とワンタイムパスワード(OTP)を使用して被害者のクレジットカードを攻撃者のデバイスに登録、トークン化されたクレジットを使って高額取引や非接触決済、ATMからの引き出しなどを行うようです。
中国語圏のアンダーグラウンドには購入が可能な高度なPhaaSプラットフォームが多数存在し、攻撃者はデジタルウォレットのトークン化や多要素認証を回避することに重点を置いている実態があるようです。中国を拠点とする犯罪エコシステムは進化を続けており、技術スキルが低い攻撃者でもフィッシング攻撃が可能な状況があるということです。Google脅威インテリジェンスグループは「中国のPhaaSプラットフォームは頻繁にアップデートされており、中国語圏のPhaaSオペレーターは世界的な影響力を最大化するためにツールを改良し続けている」と警鐘を鳴らしています。
【出典】
https://cloud.google.com/blog/topics/threat-intelligence/chinese-language-phishing-services/?hl=en