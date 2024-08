Recorded Futureはこのほど、「"ERIAKOS" Scam Campaign: Detected by Recorded Future’s Payment Fraud Intelligence Team」において、Facebookユーザーを標的にする通販の詐欺キャンペーンを特定したと伝えた。2024年4月に発見されたこのキャンペーンは、使用されたコンテンツデリバリーネットワーク(CDN: Content Delivery Network)の「oss[.]eriakos[.]com」にちなんで「ERIAKOS」と名付けられている。詐欺キャンペーンの調査報告全文は、「(PDF) “ERIAKOS” Scam Website Campaign Screens Victims Based on Mobile and Ad Access, Likely to Evade Detection - Recorded Future By Insikt Group」から閲覧できる。

"ERIAKOS" Scam Campaign: Detected by Recorded Future’s Payment Fraud Intelligence Team○詐欺キャンペーン「ERIAKOS」の全貌Recorded Futureの調査チームは2024年4月、未知の脅威アクターによる608の通販詐欺サイトを発見。これら詐欺サイトはブランドのなりすましやマルバタイジング手法を使用して、被害者の金融情報や個人情報の窃取を試みるとされる。詐欺サイトへのアクセスにはモバイルデバイスを必要とし、通常のコンピュータからのアクセスは拒否される。これはセキュリティ企業による自動検出を回避する目的があるものとみられている。モバイルデバイスからのアクセス(左)とPCからのアクセス(右 引用:Recorded Future報告によると、これら詐欺サイトには次の共通点があるという。コンテンツデリバリーネットワークに「oss[.]eriakos[.]com」を悪用する詐欺サイトのドメイン登録に「Alibaba Cloud Computing」を使用する2つの特定のIPアドレス「47[.]251[.]129[.]84」および「47[.]251[.]50[.]19」を使用するドメインの多くは構成に誤りがある。プライマリードメインはドメイン登録事業者の管理下にあるが、wwwサブドメインはCloudflareの管理下にあるERIAKOSの詐欺サイトのドメインは、中国のドメイン登録事業者「Alibaba Cloud Computing」を使用して登録されている。そのため、攻撃者は中国で活動している人物またはグループの可能性が高いとみられている。○Facebookの防衛策攻撃者は、Facebookのオンライン広告を悪用して被害者を詐欺サイトに誘導した。この詐欺広告は偽の体験談や非現実的な割り引きと共に100種類以上が公開されたという。非現実的な割り引きを謳う詐欺広告の例 引用:Recorded Future報告によると、Facebookはこのような詐欺広告の一部を自動的に検出しブロックしたとされる。しかしながらRecorded Futureは次のように述べ、Facebookの防衛策は有効だが脅威アクターはその一歩先を行くとしている。Facebookは詐欺広告を時折ブロックし、最終的には広告キャンペーンの担当アカウントをブロックした。このことから、Facebookの不正検知アルゴリズムは部分的には有効だとわかる。しかしながら、詐欺ドメインの寿命の短さから、詐欺広告も短期間で終わる設計だった可能性が高い。脅威アクターは被害者を迅速に誘導してだます意図があったと考えられる。○対策Recorded Futureは、報告の中で金融機関と消費者向けに複数の対策を提示している。オンライン通販を利用するユーザーは同社の報告を閲覧し、対策を実施することが望まれている。また、報告では付録として608すべての詐欺サイトのドメインとIPアドレスを掲載している。これら詐欺サイトの多くはすでにアクセスできないとされるが、攻撃者はすでに新しい詐欺を開始したとみられている(参考:「Fraud ring pushes 600+ fake web shops via Facebook ads」)。そのため、すべてのユーザーには同様の攻撃に今後も警戒することが推奨されている。