豚の屠殺詐欺は急速に進化している

豚の屠殺詐欺はすでに数億ドルの被害をもたらしている。攻撃者（主に中国の犯罪組織）は、攻撃を実行するためのスクリプトやプレイブックを開発しているが、セキュリティ企業Sophosの研究者による新たな調査結果によると、豚の屠殺業者はより多くの無防備な被害者を罠にかけようと、戦略を微調整し、洗練させていることが明らかになった。

研究者らは、いわゆる「豚の屠殺」詐欺が、ここ数ヶ月、より多くの被害者を騙し、注目を集め続けるために、標的を引きつけるためのより説得力のある物語と、被害者に大儲けできると信じ込ませるためのより洗練された技術の両方を開発していることを発見した。こうした改良が加えられる以前から、これらの詐欺は大きなビジネスとなっていた。FBIのインターネット犯罪苦情センターは、2021年に豚の屠殺詐欺に関連する4,300件以上の通報を受け、総額4億2,900万ドル以上の損失に見舞われた。

調査を主導したソフォスのシニア脅威研究者、ショーン・ギャラガー氏は、自身の個人アカウントとデバイスを狙った2件の詐欺キャンペーンを追跡した。10月以降、彼はTwitterのダイレクトメッセージやSMSテキストメッセージで詐欺師とやり取りし、その罠がどこへ繋がるのかを探っていた。 

「興味深いのは、実際にプレイしてみると、一方は技術面でより独創的で、もう一方はソーシャルエンジニアリング面でより先進的だったにもかかわらず、どちらも成功を収めているように見えることです」と彼は言う。「これらすべてに対処しようとするのは、まるでモグラ叩きのような大規模なゲームです。」

ギャラガー氏が調査した最初の詐欺は、「こんにちは」とだけ書かれたTwitterのダイレクトメッセージから始まりました。彼はほぼ1ヶ月後に返信しましたが、「こんにちは。返信が遅くなってすみません」と返信した途端、詐欺は開始されました。攻撃者のペルソナは香港在住の40歳女性を名乗り、2人はチャットを始めました。 

ギャラガーはペルソナに対し、自分は詐欺を調査するサイバーセキュリティ研究者だと明言した。「つまり、あなたは警察官なのですか？」とペルソナは答えた。ギャラガーがそうではないと答えると、会話は別の方向へ進んだ。「金のスポット市場をご存知ですか？」とペルソナは尋ねた。「ロンドン金スポット市場は信頼できるプラットフォームです。…私はこれを利用して金儲けをしているんです。」

ギャラガー氏によると、「ソーシャルエンジニアリング」と呼ばれるやり取りは、豚の屠殺詐欺にしては比較的弱かったという。やり取りはぎこちなく、人物が色っぽい写真を送ってくるといった行動をとったとしても、タイミングはいつもぎこちなく唐突だった。ある時、ギャラガー氏は俳優に対し、誰かと話し始めてすぐに金投資の話を持ち出すのは怪しいと指摘した。すると、その人物は「はは、そうか。自分が何をしているのか、君に知らせないといけないからね」と答えた。

しかしギャラガー氏は、この詐欺の技術がはるかに魅力的であることに驚きました。豚の屠殺詐欺は、被害者が詐欺に資金を投入するかどうかを検討する際に、洗練された本物の金融アプリケーションやダッシュボードを使って安心感を与え、信頼感を醸成することで知られています。詐欺師は最終的に、ターゲットから資金を搾り取り、貯金、借りられるローン、友人や親戚から借りられるお金をすべて送金させることを狙っています。そのため、リアルタイムの市場データなどの魅力的な技術は、被害者に信頼できる金融サービスアプリを利用しているという安心感を与える可能性を高めます。

ギャラガー氏は、詐欺師たちが悪質アプリを配布するために使用していたウェブサイトが、実在する日本の金融会社を装い、.comドメインを使用していたことを突き止めました。ギャラガー氏によると、そのウェブサイトはGoogleの検索結果の上位に表示されていたため、被害者はちょっとした調査をすれば見つけることができたそうです。「こうしたことにあまり詳しくない人にとっては、その部分だけでもかなり説得力があるでしょう」とギャラガー氏は言います。

ソフォスが香港を拠点としていると疑う攻撃者は、ロシアのソフトウェア企業の正規取引サービスを利用して、Windows、Android、iOSアプリを開発しました。MetaTrader 4として知られるこのプラットフォームは、ソフォスの研究者によって過去に不正利用され、詐欺に悪用された事例が確認されています。被害者はプラットフォームへの参加手続きの一環として、納税者番号や政府発行の身分証明書の写真などの個人情報を開示し、口座への入金を開始する必要がありました。

様々な詐欺でよくあるケースですが、攻撃者はAppleのエンタープライズデバイス管理プログラムの侵害された証明書を使用してiOSアプリを配布していました。しかし、Sophosの研究者は最近、Appleの防御をすり抜けて公式App Storeに侵入した豚の屠殺関連アプリを発見しました。

ギャラガー氏が関与した2つ目の詐欺は、カンボジアを拠点とする中国系犯罪シンジケートによるものと思われます。この詐欺に使われた技術は、それほど洗練されておらず目新しいものではありませんでしたが、それでも規模は大きく、正規の市場追跡サービスTradingViewを装った偽のAndroidおよびiOS向け仮想通貨取引アプリを運用していました。しかし、この詐欺には、被害者を誘い込み、詐欺師と実際に関係があるかのように思わせ、投資を勧める、はるかに高度で洗練されたソーシャルエンジニアリングの手口が備わっていました。 

「最初は『ねえ、ジェーン、まだボストンにいる？』って聞かれたので、『すみません、番号が間違っていました』と返信しました。そこからは普通のやり取りでした」とギャラガーは言う。会話はSMSで始まり、その後Telegramに移行した。

なりすましメールの送信者は、ブリティッシュコロンビア州バンクーバーに住むマレーシア人女性を名乗りました。彼女はワインビジネスを営んでいると言い、バーの横に立っている自分の写真を送ってきました。しかし、バーに並んでいたのは主にワインではなく、アルコール類でした。ギャラガーは最終的に、写真に写っているバーがカンボジアの首都プノンペンにあるローズウッドホテル内のバーだと特定しました。

質問に対し、ギャラガー氏は改めてサイバーセキュリティの脅威研究者だと答えたが、詐欺師はひるまなかった。さらに、ギャラガー氏の会社はバンクーバーにオフィスがあり、何度も直接会おうと提案してきたと付け加えた。しかし、詐欺師たちは詐欺に終始し、ギャラガー氏は写真の女性から音声メッセージと動画メッセージを数回受け取った。最終的には、彼女とビデオチャットまでした。

「彼女の英語力はかなり上達していて、彼女はとても目立たない場所にいました。防音壁パッドが貼られた、オフィスか会議室のような部屋でした」とギャラガーは言う。「彼女は自宅にいると言って、会話はすぐに私が彼らと高頻度暗号資産取引を行うかどうかへと移っていきました。」

ソフォスの監視によれば、この詐欺に関連した暗号通貨ウォレットは、1か月間で被害者から約50万ドルを盗んだという。 

研究者らは、両方の詐欺に関する調査結果を、関連する暗号通貨プラットフォーム、テクノロジー企業、世界的なサイバーセキュリティ対応チームに報告したが、両方の活動は今も活発であり、アプリやウォレットが削除されても継続的に新しいインフラを確立することができた。

ソフォスは、豚の屠殺事件に関わる人物の画像をすべて報告書から削除しました。豚の屠殺事件では、多くの場合、強制労働が用いられており、参加者が意思に反して働いている可能性があるためです。ギャラガー氏は、これらの事件の最も邪悪な点は、その進化と拡大が、より多くの経済的打撃を受けた被害者に加え、より多くの強制労働を招いていることだと述べています。しかし、世界中の法執行機関がこの脅威に対抗しようと奔走する中、これらの手口の詳細な詳細が明らかになったことで、その仕組み、そしていかに巧妙で適応性に富んでいるかが明らかになりました。