攻撃者の次のターゲット ~デジタルウォレットを使ったサイバー犯罪~
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. (旧Verint Systems Ltd.)のブログ『攻撃者の次のターゲット ~デジタルウォレットを使ったサイバー犯罪~』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Cognyte CTI Research Group@Cognyte | 2022年3月20日
脅威アクター、いわゆるサイバー犯罪者たちはデジタルウォレットに高い関心を持っており、ダークウェブ市場における盗難クレジットカードの取引に影響を与え始めています。
「デジタルウォレット」とは仮想通貨を含む電子マネー用の財布の役割を果たすソフトウェアやオンラインサービスのことを指します。デジタルウォレットの利用は近年急激に増加しており、今後も成長を続けるであろうと推測され、オンラインショッピングの決済方法としてクレジットカードに取って代わる可能性をも秘めています。COVID-19のパンデミックが始まって以降、ショッピングサイトでのデジタルウォレットの使用率は7%ほど増加しています。デジタルウォレットの不正利用やサイバー犯罪に関連するダークウェブ上の取引の数が急増しています。
デジタルウォレットがサイバー犯罪者にもたらすメリット
Cognyte CTIリサーチグループが実施したデジタルウォレットに関する調査では、脅威アクターの間でデジタルウォレットがどう受け取られているのかを調査した結果、やはり推測通り、違法取引の決済手段としてデジタルウォレットの活用が増えてきていることが明らかとなりました。決済手段としての活用以外にも、脅威アクターがデジタルウォレットに関心を寄せる理由があることも、同調査からわかってきました。
ハッキング方法のチュートリアル
デジタルウォレットをハックキングする方法やそのチュートリアルがダークウェブ上には投稿されています。多くはお金を稼ぐ目的で投稿されており、25ドルから150ドル程度の価格で販売されています。また、その決済には盗難クレジットカードが使われるケースが多いのですが、デジタルウォレットは盗難カードからより使い勝手の良いプラットフォームに送金するための手段として使われています。いわゆるマネーロンダリングに使われるわけですが、ウォレットを使ってギフトカードを購入するというのが一般的なテクニックの1つです。デジタルウォレットアカウントの認証
脅威アクターがデジタルウォレットのユーザになりすまして、通貨を自由に操れるようにするために、アカウント認証をクリアするための認証サービスの販売も見受けられます。クレジットカードからウォレットにお金を振り込むには、認証プロセスの一環として、口座から500ドル以上引き出すことを要求されるなどの複雑なプロセスがあります。この認証プロセスに必要な条件を満たすためのサービスが存在します。脆弱性の売買
発展途中とも言える傾向として、デジタルウォレットで発見された脆弱性の売買に関する投稿も検出されています。今回の調査では 「Apple Pay」 「Samsung Pay」 「Google Pay」 の脆弱性が監視対象フォーラムで売りに出されていることを確認しています。フィッシング
デジタルウォレットは、最も一般的な攻撃手法の1つであるフィッシングにも悪用されています。脅威アクターは、正規のウォレットに見せかけ、偽のファイルやリンクによってクレデンシャル情報を窃取しています。私たちの推測通り、決済アプリ等の利用増加に伴い、ダークネット上における関連投稿が増加しています。デジタルウォレットはまだ初期段階にありますが、さまざまな脅威アクターの標的となっており、デジタルウォレット関連のサイバー犯罪は他の金融サイバー犯罪と同様に人気が高まると予想されています。
Cognyte CTIリサーチグループは、2016年から2020年の5年間、デジタルウォレットに関する脅威アクターの投稿を収集し、その動向を分析しました。Telegram、Twitter、アンダーグラウンドのハッキングフォーラム、ダークネット市場など、さまざまな情報源の分析が行われ、デジタルウォレットでは、特に 「Google Pay」 「Apple Pay」 「Samsung Pay」 に関する投稿が多く見受けられました。
下のグラフは、ネット上でのこうした脅威アクター同士の「交流」の数が継続的に増加傾向にあることを示しています。2017年から2018年にかけてほぼ倍増し、2019年には5倍の増加で31,878件に達しています。2020年には96,363件に達し、 2021年には20万件に達しています。これはサイバー業界では昨今、注目の的であり、世界的なデジタルウォレットの利用拡大に伴って、今後も増加し続けると予想されています。
デジタルウォレットに関する脅威アクタ間の情報のやり取り
デジタルウォレットの人気がクレジットカード詐欺に及ぼす影響
デジタルウォレットを取り巻く違法行為は、その利用に伴って増加していますが、その反面、ダークウェブ市場におけるクレジットカード情報の取引は著しく鈍化傾向にあることが今回の調査でわかりました。ダークウェブ上のクレジットカードを扱う50のいわゆるカードショップから集められたデータを分析すると、2019年から2020年の間にクレジットカード情報の取引が25%ほど減少しています。これは、攻撃者がデジタルウォレットを使ったサイバー犯罪など、他の媒体に移行しつつあることを意味している可能性があります。
クレジットカード情報の年間売買数の推移
デジタルウォレットの人気が高まっていることもあり、デジタルウォレットの認証情報の悪用がクレジットカード詐欺に取って代わっているのではないかと推測できます。サイバー犯罪者はダークウェブ上で売買されているデータベースを介して認証情報を大量に販売する傾向にあり、その後、ウォレットや関連するクレジットカードを利用して詐欺や不正なショッピングを行っています。
金融機関にとっての意味
デジタルウォレットは通常、クレジットカードに紐づいているため、金融機関には従来のクレジットカード盗難と同様の影響があります。盗まれたデジタルウォレットの認証情報が漏えいすると、クレジットカードのデータ漏えいにつながる可能性があり、金融サービスプロバイダに対する顧客の信頼が脅かされ、ブランドイメージが損なわれる恐れがあります。クレジットカードのデータが流出していなくても、不正購入に繋がる可能性もあり、金融機関は詐欺被害者への補償を求められることになりかねません。
決済にデジタルウォレットを使用する人が増えるにつれて、金融機関本体がデジタルウォレットをサービスとして提供することが期待されるかもしれず、セキュリティ侵害に備えることは、進化し続ける市場のトレンドについていくためにも金融サービスプロバイダにとって不可欠なことです。
Cognyteは顧客のデジタルウォレットに対する脅威の検出を支援
Cognyteのサイバー脅威インテリジェンスソリューションであるLUMINARは、ウェブのすべてのレイヤーを継続的に監視し、脅威アクターがクレジットカードやデジタルウォレットの認証情報を取引しようとするたびに、カスタマイズされたリアルタイムのアラートを提供します。LUMINARの専用モジュールを使用すると、特定の顧客に関連付けられている認証情報を、誰かが公開すると直ちに確認することができます。高度な分析機能、独自のデータベース、およびIoC機能は、使用されていないフォーラムでも、攻撃者の履歴アクティビティを追跡して、進行中のパターンを関連付け、犯罪者を特定します。お客様のセキュリティに対する脅威を攻撃前に特定することで、セキュリティ態勢の強化に繋げます。
