ゲームのプロモーションを装った多岐にわたる詐欺行為はすべて、1つのネットワークに結びついています。
写真:ジャスティン・パジェット/ゲッティイメージズ
新たな調査によると、過去5年間で米国政府機関、主要大学、専門組織のウェブサイト数千件が乗っ取られ、詐欺的なオファーやプロモーションの宣伝に利用されていたことが明らかになりました。これらの詐欺の多くは子供を狙っており、アプリやマルウェアをダウンロードさせたり、フォートナイトやロブロックスで存在しない報酬と引き換えに個人情報を提供させたりしようとします。
セキュリティ研究者のザック・エドワーズ氏は、3年以上にわたり、ウェブサイトのハイジャックや詐欺を追跡してきました。エドワーズ氏によると、これらの活動は、ある広告会社のアフィリエイトユーザーの活動にまで遡ることができるとのことです。米国に登記されたこの企業は、様々なオンライン広告主にウェブトラフィックを送信し、ユーザーが登録してシステムを利用できるようにしているサービスです。しかし、ヒューマン・セキュリティの脅威インサイト担当シニアマネージャーであるエドワーズ氏は、毎日、多数の.gov、.org、.eduドメインが侵害されているのを発見しています。
「このグループは、インターネット全体のインフラを大規模に侵害し、そこに詐欺サイトをホスティングするなど、様々なエクスプロイトを仕掛ける点で、まさにナンバーワンのグループと言えるでしょう」とエドワーズ氏は述べている。現在も進行中のウェブサイト侵害の規模と、詐欺行為の公然性こそが、このグループの特異性を高めていると、エドワーズ氏は指摘する。
マシュー・バージェス提供
金儲けの仕組みや方法は複雑ですが、どのウェブサイトも乗っ取られる手口は共通しています。ウェブサイトのバックエンド、つまりコンテンツ管理システムの脆弱性や弱点を突いた攻撃者が、悪意のあるPDFファイルをウェブサイトにアップロードします。エドワーズ氏が「ポイズンPDF」と呼ぶこれらの文書は、検索エンジンに表示されるように設計されており、「無料のフォートナイトスキン」やロブロックスのゲーム内通貨ジェネレーター、バービーやオッペンハイマーなどの人気映画の格安ストリーミング配信などを宣伝しています。ファイルには、人々がこれらのテーマで検索しそうな言葉がぎっしり詰まっています。
エドワーズ氏によると、有害なPDF内のリンクをクリックすると、複数のウェブサイトに誘導され、最終的には詐欺のランディングページに誘導される可能性があるという。同氏はラスベガスで開催されたセキュリティカンファレンス「Black Hat」でこの調査結果を発表した。「子供をターゲットにしているように見えるランディングページがたくさんある」と彼は言う。
例えば、オンラインゲームの無料コインを宣伝するPDFのリンクをクリックすると、別のウェブサイトに誘導され、ゲーム内ユーザー名とオペレーティングシステムの入力を求められます。その後、無料で欲しいコインの枚数を尋ねられます。「最後のステップ!」というポップアップが表示されます。この「ロッカーページ」には、別のサービスに登録したり、個人情報を入力したり、アプリをダウンロードしたりすると、無料ゲームコインがアンロックされるという謳い文句が書かれています。「何百回もテストしました」とエドワーズ氏は言います。彼は一度も報酬を受け取ったことはありません。人々がこの迷路のようなページを通り抜け、最終的にアプリをダウンロードしたり、個人情報を入力したり、あるいは何らかの必要な操作をさせられると、詐欺師たちは金儲けをすることができます。
広告詐欺の研究者によると、こうした詐欺は以前から存在していたという。しかし、今回の詐欺はどれも広告会社CPABuildとそのネットワークで働くメンバーにリンクされているため、際立っているとエドワーズ氏は指摘する。PDFがアップロードされている侵害されたウェブサイトはすべて、CPABuildが所有するコマンド&コントロールサーバーに呼び出しをかけているとエドワーズ氏は指摘する。「彼らは広告キャンペーンを他人のインフラに押し込んでいるのです」と彼は言う。PDFにリンクされたファイルをGoogleで検索すると、侵害されたウェブサイトの検索結果が何ページにもわたって表示される。
CPABuildのウェブサイトにはネバダ州の法人登記簿が掲載されており、自らを「コンテンツロックネットワーク」と表現しています。2016年から活動している同社は、顧客からのタスクをホスティングしており、例えばメールアドレスや郵便番号の情報を入力すると賞金が当たるチャンスを提供するといったサービスを提供しています。そして、CPABuildのユーザー(アフィリエイトと呼ばれることが多い)は、人々にこれらのオファーを完了させようとします。彼らは多くの場合、YouTubeのコメント欄にスパムリンクを貼ったり、有害なPDFクリックチェーンの終盤にポップアップ式の「ロッカー」ページを作成したりすることで、この成果報酬型のプロセスを行っています。この成果報酬型のプロセスは、広告主やマーケティング担当者の間ではCPA(Cost Per Action:行動単価)と呼ばれています。
WIREDはCPABuildのウェブサイトに掲載されている複数のメールアドレスに連絡を取り、問い合わせフォームにも質問を送ったが、返答はなかった。同社のウェブサイトにはCPABuildの背後にいる個人の名前は記載されておらず、全体的な詳細情報もほとんどない。ウェブサイトでは、プラットフォームを悪用する悪質な行為者を摘発するために「毎日」詐欺チェックを実施していると主張しており、利用規約では詐欺行為への関与や複数種類のコンテンツの共有を禁止している。
このウェブサイトは、パブリッシャーに4000万ドル以上を支払ってきたと主張しており、数千のテンプレートとランディングページを用意している。CPABuildには、さまざまなレベルのユーザーがいる。ウェブサイトのアフィリエイト構造は、ホームページ上の画像に表示されている。メンバーは、マネージャー、悪魔、魔族、魔法使い、マスター、騎士に分類できる。8月11日にCPABuildメンバーがアップロードしたある動画では、管理者アカウントがユーザーとメッセージを共有しており、同社がプラットフォームの詐欺行為を防ぐ対策を講じていることがわかる。「CPABuildのパブリッシャーが、当社の利用規約に違反する方法でオファーを宣伝しているという報告を依然として受けています」と画面に表示されたメッセージには書かれている。しかし、エドワーズ氏の調査によると、CPABuildがどのような努力を払ってきたとしても、ユーザーによる横行する詐欺行為を阻止することはできていない。
「アプリインストール単価を含むCPA詐欺は非常に蔓延しています」と、エドワーズ氏の調査結果の概要をレビューしたサイバーセキュリティと広告詐欺の独立調査員、オーガスティン・フー氏は述べています。「今回の調査で特定されたような専門家は、特定の種類の詐欺においてニッチな分野を切り開き、その分野のリーダーとなっています」とフー氏は言います。「顧客は、その専門性を求めて彼らに頼るのです。」
現在、多数のウェブサイトがこれらのPDFの影響を受けています。ニューヨーク州金融サービス局は今週、WIREDからの連絡を受け、アップロードされたPDFを削除しました。同局の広報担当者であるシアラ・マランガス氏によると、この問題は2022年に初めて確認され、調査と追加措置を経て、ファイルは削除されました。
エドワーズ氏によると、2022年に彼は米国サイバーセキュリティ基盤庁(CISA)に対し、オークリッジ国立研究所とローレンス・バークレー国立研究所を含む50以上のウェブサイトが侵害されていることを警告した。オークリッジ国立研究所の広報担当者は、CISAの警告に「直ちに」対応し、「疑わしいコンテンツを削除し、問題を解決した」と述べた。同研究所のデータには影響がなかったと同氏は述べている。一方、ローレンス・バークレー国立研究所の広報担当者は、個別のケースについてはコメントできないとしながらも、「ウェブサイト訪問者のシステムが侵害されるような脆弱性はない」と述べた。CISAの.govレジストリマネージャー、キャメロン・ディクソン氏は、政府ウェブサイトの脆弱性に気付いた場合は、通知して支援を提供していると述べている。「1日で、これほど大きな新規被害者リストが作成される可能性があります」とエドワーズ氏は述べている。 (2020年、イタリアのコンピュータセキュリティインシデント対応チーム(CIRST)は、エドワーズが発見した侵害されたドメインに関する警告を発した。)
CPABuildの関連会社とみられる人物との関連がいくつか報告されているものの、エドワーズ氏によると、この手口は、プロセス中のリンクがリダイレクトサービスを経由しており、身元が隠蔽されているため、検知されにくいという。また、ランサムウェアなどのサイバー攻撃ほど影響が大きくないため、見過ごされる可能性もあるという。
しかし、CPABuildのメンバーやアフィリエイトに関連する活動の痕跡がウェブ上に散在しています。CPABuildの複数のユーザーがYouTubeに動画をアップロードし、サイトの一部がどのように機能しているかを明らかにしています。ある動画では、「フォートナイトスキンジェネレーター」とCPABuildのツールで作成されたロッカーページを使用する様子が映っています。別の動画では、CPABuildが提供している様々なオファーが確認でき、メールアドレスや郵便番号の情報、クレジットカード情報の提出、モバイルアプリのインストール、「一般アンケート」への回答などを求めています。
CPABuildのウェブサイトにある数百ものコンテンツロッカーは、過去7年間でインターネットアーカイブによって収集されてきました。「Amazonギフトカード」と呼ばれるロッカーページの中には、アンケートに答えて「今すぐ5,000ドルの現金を当てよう」、あるいは「応募して25,000ドルを獲得しよう」というオファーをしてくるものもありました。他にも、Operaウェブブラウザなどのアプリのダウンロードを促したり、「100ドル分のRobloxゲームカードがもらえる」というオファーをしてくるものもありました。人気の子供向けゲームは、こうした「オファー」の誘い文句として頻繁に利用されています。
「皆さんと同じように、私たちもこういうことは大嫌いです。でも、生きていくためにはこれが役に立ちます」と、あるロッカーページには書かれています。「簡単なフォームに記入してパスワードを取得し、私たちを応援してください」
URLScanなどのウェブサイト検査ツールは、Amazon Web Services(AWS)でホストされているCPABuildのインフラストラクチャと通信する複数の不審なドメインを示しています。AWSの広報担当者であるパトリック・ネイグホーン氏によると、Amazonのトラスト&セーフティチームがエドワーズ氏の調査結果を検討しているとのことです。「AWSの利用規約では、お客様が当社のサービスを違法または不正な活動に利用することを禁止しており、お客様は当社の規約および適用されるすべての法律を遵守する責任を負います」とネイグホーン氏は述べています。
ザック・エドワーズ提供
一方、ゲーム会社は、ロッカーページをホストしているウェブサイトの例は合法ではないと主張している。「これらは詐欺です」と、フォートナイトの開発元であるEpic Gamesのシニアコミュニケーションマネージャー、ジェイク・ジョーンズ氏は述べている。「プレイヤーはこれまで、ゲーム内のV-Bucksを他のプレイヤーに売却、贈与、交換したり、仮想アイテムを互いに売買したりすることはできませんでした」と彼は述べている。同様に、Roblo xの広報担当者であるジェームズ・ケイ氏は、サードパーティのサービスを利用して「Robuxを売買、交換、または譲渡する」ことは禁止されており、無料のゲーム内通貨やその他のアイテムを約束するウェブサイトの「オファー」は避けるべきだと述べている。
セキュリティ企業KELAの脅威調査ディレクター、ビクトリア・キビレビッチ氏によると、サイバー犯罪やハッキング関連のフォーラムでCPABuildが議論されているという。あるサイトでは、盗まれたゲームやソフトウェアのコンテンツを掲載したYouTubeチャンネルを作成して動画を投稿するよう推奨するユーザーがいるという。「ユーザーはCPABuildを使って、動画の説明欄にコンテンツロッカーのURL(CPABuildで入手したと思われる)を貼り付け、そのURLをクリックした訪問者から収益を得ることを推奨しています」とキビレビッチ氏は述べ、フォートナイトやロブロックスに関する議論も頻繁に行われていると付け加えた。
「多くのユーザーが、CPABuild で承認を受ける方法や、CPABuild で購入できるアカウントについての手順を探しています」と Kivilevich 氏は言います。
悪質なPDFの多くは人々を詐欺へと誘導しますが、すべてがそうというわけではありません。「CPABuildの特定の顧客はマルウェア作成者であるようです」とエドワーズ氏は言います。中国に関する否定的な記事がニュースに掲載された数日後には、キーワード満載のPDFが出現し、ニュース記事に似た言葉が含まれていることがあると彼は言います。「検索結果の最初のページには正当な記事が表示され、そこから3、4ページ下にはハニーポットが表示されるのです」と彼は言います。「これらのページはすべてマルウェアでした。」
受信箱に届く:ウィル・ナイトのAIラボがAIの進歩を探る
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
