日本のカード侵害の現状と「Magecart」の脅威 | Codebook | Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > 脅威インテリジェンス > 日本のカード侵害の現状と「Magecart」の脅威

日本のカード侵害の現状と「Magecart」の脅威

 

日本におけるカード侵害の現状と「Magecart」脅威

*2021年5月に開催した「Cyber Intelligence Summit 2021」に登壇されたGemini Advisory 調査チームリーダーIlya Volovik氏、同調査・開発ディレクターStas Alforov氏の講演「日本およびアジア太平洋における、ダークウェブ脅威の現状」の邦訳・一部抜粋記事です。

 

関連記事:Magecartグループ「Keeper」 570のサイトに感染

     サイバーインテリジェンスのスゝメ

 

目次:

      1. ダークウェブ上の決済カードショップ(売却される侵害された決済カードについての洞察と分析)
        1. ショップの種類
      2. 侵害された決済カードの統計
        1. 日本の統計
        2. CNP以外の侵害データ
      3. 「Magecart」(決済カード窃取の主要原因)
        1. 日本の統計

 

ダークウェブ上の決済カードショップ(売却される侵害された決済カードについての洞察と分析)

ダークウェブ上の決済カードショップは、全ての侵害されたカードのうち約90-95%を販売しています。

皆さんの中には、今年の冒頭には閉鎖されていた「Joker’s Stash」などの有名な一部のショップをご存知の方もいるかもしれませんが、実は侵害されたカードデータを販売あるいは引き出しているショップは何百もあります。規模は様々で、何百万枚ものカードを売るショップもあれば、ほんの数千枚しか販売しないショップもあり、私たちはそれらのショップを「ブティックショップ」と呼んでいます。こういったショップは特定のタイプの国あるいは特定の国々から得られた侵害されたデータを専門としており、その国に対してのみデータを販売します。しかし、これらのショップの大半は実は、世界中から得られた侵害カードデータを販売しているのです。

こういったショップがどうレイアウトされ、データがどう実際にショップ上で表示されるかを見てみましょう。これらのショップは実は、アマゾンやeBayなどの利用者の多いマーケットプレイスと共通する類似点を有しています。こういったタイプのマーケットプレイスからたくさんのヒントやインスピレーションを得ているのです。

 

実際の決済カードショップ

基本的なフィルターオプションが確認できます。こういったショップでの購入に際して、特定のBINコード、特定のカード有効期限を探すことができますし、特定の都市から入手したカード、あるいは特定の都市にいるカード所有者のカードを探すことができます。Eメールアドレスや電話番号、あるいは生年月日が含まれたカードが必要なら、これらのショップ内でそれら全てのフィルターを設定し、複雑かつ強力なフィルターシステムでそれを特定することができます。

カードやカードショップの領域を掘り下げていくにあたり、二つの重要な用語を理解しなければなりません。CNP、こちらは「Card Not Present」の略で、「Card Not Present」というのは「Eスキミング(Magecart)やフィッシングを介して侵害されたカード」のことです。つまり、ネット上での取引で侵害されたカードということになるでしょう。そしてCP、つまり「Card Present」ですが、これらは「販売場所(POS)のデバイスから侵害されたカード」ということになります。

 

実際の決済カードショップ

こちらにあるのは追加のスクリーンショットですが、こちらがショップ自体の内部でのカードデータの実際の表示のされ方を示しています。上部にフィルターオプションがあることが分かりますが、下部にはカードが実際どのような外観であるかのプレビューと、そしてバイヤーが、または犯罪者のバイヤーが、購入を行う前に見るプレビューがあります。このプレビューにはBINコード、有効期限、カード所有者の名前、都市、郵便番号、そして国が表示されることがあります。カードに含まれる可能性のある他の識別子は、電話番号やEメール、あるいはその他の個人識別情報です。カードの総額と同様に、こういった要素はショップによって変わります。しかし、どういった種類のカードを自身が購入しようとしているのかについての詳しい情報をバイヤーに提供するために、いくらか似たような情報を掲載する傾向があります。これは、バイヤーの大半が特定のBINコードを狙っていたり、もうすぐ期限が切れるカードや、あるいは、新たに発行されたカード、または世界の特定の地域の所有者のカードを狙っているためです。これは各犯罪者による違いに過ぎません。

 

ショップの種類

ショップについてお話しするにあたって、このマーケットがかなり独特であるということを理解しなければなりません。私たちはマーケットを三つのカテゴリーに分類しました。それは「オーセンティックショップ」、「フェイクショップ」、そして「リセラーショップ」です。

オーセンティックショップ

オーセンティックショップは、真に新しいデータを販売しています。どういうことかというと、ここで売られるカードはその他のショップで売りに出されたことがなく、最近侵害されたものだということです。そして正規のカードであり、偽造されたものではありません。最近盗まれて、現在では売りに出されている本物の侵害されたカードなのです。

 

フェイクショップ

しかし、フェイクショップというのもあります。フェイクショップは実際のものではない、実際のカード番号ではないデータを販売します。これらは偽造されたカードです。そしてこういったタイプのショップは主に、犯罪者や研究者、法執行機関、そして金融機関を騙すということを行っています。これらが正規のカードデータであると信じ込ませ、実際には偽のカードであるとは知らないその無知さを利用して収益を得ようと試みるのです。そしてショップが望んでいるのは、研究者がカード購入のために特定の額のビットコインや暗号通貨を特定のショップにアップロードすることです。そうすれば、そのデータあるいは資金の全額を盗み取ることが可能になります。こういったショップは、かなり頻繁に出現しては消え去っていきます。しかしフェイクショップは全カードショップの79%を占めるのです。オーセンティックショップは全ショップのうちほんの11%で、全てのショップの中で決済カードデータの販売を担うのはオーセンティックショップのみなのです。

 

リセラーショップ

リセラーショップを見てみると、全体の8%を占めています。リセラーショップは、オーセンティックショップに投稿されたのと同じカードデータの再販あるいはアップセル(より高い値段で売りつけること)を担います。この現象は、私たちが日々接する現在の市場でも特定のショップがあり、そしてさらにその様々な再販業者や製品があることとかなり似ています。この犯罪マーケットプレイスも同じような仕組みで機能するのです。製品のオリジナルがある一方で、そのデータをアップセルしつつもそれを自ショップ独自の製品と表示し、販売しているデータ全てが独自のものであるか、もしくは本物のオーセンティックショップから転売されたばかりのものであると示唆するような再販業者がいるということです。

 

侵害された決済カードの統計

もっと面白い部分は、こういった様々なショップに投稿されるカードの背後にある統計を理解することです。どれくらいの数のカードが投稿されていて、どれくらいのボリュームであり、そしてそのうちどれくらいが売れていて、その平均の売値はいくらなのでしょうか。

統計を見てみましょう。過去数か月間のデータを見ていきます。一つ目は世界的な統計を表しています。追加されたカードと売却されたカードの世界的な量です。二つのグラフの違いについてですが、「Added(追加された)」というのがショップにアップロードされたカードで、「Sold(売却された)」というのは犯罪者アクターによって実際に購入されたカードです。

 

侵害された決済カードの統計(世界)

過去1か月間からわかることは、CNPとCPの定義に戻って、「Card Not Present」データと「Card Present」データを実際に見てみると、「Card Present」データの需要と供給が劇的に変化しており、この大部分が最近のCOVIDパンデミック、そして対面取引の不足と同調しています。なぜなら、国境が閉鎖され、多くのショップや店舗がCOVID規制に従って閉鎖されているためです。

犯罪者たちもまた、「Card Present」データを収益化することができません。なぜなら、カードをコピーするには対面でのやりとりをする必要があり、収益化のためには対面取引を実行できねばならなかったためです。さらに、これが実際にCP情報を盗むための、こういった対面取引を行うカードのカードデータを盗むやり方なのです。したがって、これがCPデータの追加量にも販売量にも減少が見られた理由です。

しかし、Eコマース取引から盗み取られるCNPデータを見てみると、こちらは過去4か月間よりもかなり増加していて、COVIDパンデミックの間もこのデータの方が回復力があり、様々なショップに加えられるカードの統計は、価格と販売数も維持しながら同じレベルで推移しています。

 

日本の決済カードの統計

 

侵害された決済カードの統計(日本)

もう少しホームに近付き、日本をベースとする統計と、日本を拠点とする金融機関によって発行されたカードのみの同じメトリクスを見てみますと、CNPの追加されたデータに関してはいくつか上昇波形が見られます。しかしこれらの上昇は毎数か月ごとに頻繁に現れるわけではありません。特定の大規模な漏洩、もしくは複数の異なる漏洩を反映しており、そこではカードデータがかなり短期間のうちに剥奪・投稿されているのです。そして販売されたカードを見てみると、2020年の10月ごろから日本のカード販売に少しの減少があります。しかし今は隠れている2月頃は常に値が低かったのを覚えています。ただ、現在の数値は、あるいはこのメトリックスは、実は3月と4月にゆっくりと戻ってきているのです。

しかし、CPデータに関しては、このデータはまだ非常に販売数が少ないか、あるいはこの市場での需要が一切なく、ある意味で最小限の販売レベルが続いているのがわかります。一方でいくつか上昇波形も見えますが、全体像は減少傾向です。

そして日本の統計をさらに詳しく見てみると、投稿されたカードの総数の分類では、データはCNPに分類されていました。過去12か月間で12万5千枚のカードが侵害されています。これらはEコマースサイトから侵害されました。そしてCPは約4万8千枚です。そして販売されたカードに関しては、CNPデータのかなり高い需要が見られます。過去12か月間で12万5千枚が投稿されたうちの11万9千枚が売却されました。そしてCPデータの中央値は現在のところカード1枚につきおよそ15ドルで、CNPデータは1枚につき25ドルです。

この中央値は米国やヨーロッパの一部の国々よりも高いです。これは、詐欺師たちは実際にそのデータの収益化に成功すると知り高い金額を支払おうとするだろう、という考えによるものです。なぜなら、こういった市場の動き方は、需要と供給やモデルに基づいており、カードが販売中であるか、投稿されているカードが売れていなかったら、ショップは価格を下げ続けます。しかしカードが真に高い需要がある中で販売されており、在庫が少ないかカードの分量が少ない場合には、ショップは確実にこれらのデータの価格を上げ続けるでしょう。なぜなら詐欺師たちが喜んでその額を支払おうとすることがわかっているからです。

 

CNP以外の侵害データ

カードデータについて考えるとき、私たちはよくカード番号や有効期限、カード所有者のCVV、カード所有者の名前、そして請求情報といったCNP情報を思い浮かべる傾向があります。なぜなら、これらが私たちがオンラインショップあるいはマーケットで購入を完了させるときに入力することになるタイプの情報だからです。

しかしよく、マイナンバーや政府が発行するID番号、生年月日、Eメール、電話番号、母親の旧姓、ユーザーエージェントといったさらなるデータポイントが侵害されます。これらは全て、CNPデータから利用可能なデータポイントの類です。全てのレコードで利用可能というわけではなく、侵害のタイプやデータの入手元によって異なります。注目度のより高い侵害であり、例えば医療プロバイダーや政府系ウェブサイト、または資金調達を可能にするウェブサイトのフォームのようなものに対する侵害の場合、カード所有者の生年月日やマイナンバー、政府発行のID番号といったさらなるデータポイントが収集されている可能性があります。そしてユーザーエージェントや母親の旧姓(MMN)といった要素に関しては、こういったタイプのデータはフィッシング攻撃で侵害されます。つまり、この攻撃でカード所有者がフィッシング被害に遭い、その後、カードデータを奪われることになります。カード所有者は正規サイトに情報を入力していると思い込んでいるものの、実はそのサイトはフィッシングウェブサイトで、カード所有者に関する情報をできる限りたくさん集めているのです。

 

「Magecart」(決済カード窃取の主要原因)

カードデータにまつわるこの統計についてお話ししてきましたが、こういったカードデータがどのように侵害されるのかを理解しなければなりません。この大半が、私たちが「Magecart」あるいはEスキミングキャンペーンとして識別しているものから来ています。

この言葉に馴染みがない方々に説明すると、「Magecart」感染とはEコマースサイトの感染のことです。サイトは、悪意のあるスクリプト、つまり悪意のあるペイロードを利用して感染させられます。これが、決済カード情報や、チェックアウトページに入力されるその他あらゆるデータを収集するスクリプトを、チェックアウトページに注入するのです。あるいは一部のケースでは、決済フォームが要求するあらゆるデータを収集する、独自の偽の決済フォームが挿入される場合すらあります。

Geminiは、1日に平均で20万〜30万件の世界中のサイトをスキャンし、リアルタイムで感染を探すことのできるカスタムスキャナーを所有しています。これにより私たちは世界のどこででも毎日30-40件の感染を特定することができます。そんな中、過去12か月間で、全世界で約7,000件の「Magecart」感染を71か国で特定しました。現在、私たちが過去12か月間で特定した6,800件の「Magecart」感染のうち、4,000件がまだ感染状態です。これはつまり、これらのサイトの一部は数週間以上、あるいは1か月以上感染したままである可能性があるということです。そして平均感染持続時間は下部に特定されているように、各サイトにつき1-3か月です。

 

侵害サイトで利用されたコンテンツ管理システムTOP3(世界)

チャートから、大半のコンテンツ管理システムが標的にされていることがお分かりいただけるでしょう。コンテンツ管理システムとはほとんどのEコマースサイトを動作させているプラットフォームです。OpenCardやワードプレス、Magentoなどは皆さんもご存知のはずです。こういった大手の、世界的に人気の高い主流なコンテンツ管理システムの中では、Magento、OpenCard、そしてWoocommerceが影響を受けています。

 

日本の統計

日本ベースの統計に焦点を当てると、過去12か月間でGeminiは、日本でホストされているEコマースサイトへの71件の攻撃を特定しました。現在、その中で45件がまだ感染状態です。そしてここでの感染はもう少し長引く傾向があります。つまり、これらのサイトは世界的な統計で見られたほど早くは感染を検出できない傾向があるということです。これは、これらのサイトの大半が平均で2〜6か月間どこかしらから感染している、つまり、2〜6か月間どこかからカードデータを引き出しているということがわかるからです。

日本の近隣諸国に目を向けてみると、過去12か月間でGeminiは約200件の侵害されたサイトを日本の近隣諸国で特定しました。そして現在、そのうちの105サイトがまだ感染状態です。カード所有者は自国に位置するEコマースサイトからだけでなく、米国のサイトや、フィリピンや韓国あるいはその他の近隣地域にあるショップからも買い物をすることが多いということがわかっています。

 

侵害サイトで利用されたコンテンツ管理システムTOP3(日本)

影響を受けているコンテンツ管理システムを見てみると、先ほどはMagentoが重要なステークホルダーの一つでしたが、このケースでは、OpenCardの方がMagentoよりも影響を受けており、侵害されたマーケットサイトの70%を占めていることがわかります。次にWoocommerceが続き、Magentoは三番手です。

しかし「Magecart」に感染したEコマースサイトに加えて、真に詐欺行為を行うだけのEコマースサイトの存在もわかっています。2020年、Geminiは大量の、というより実は600以上の、中国で登録された、中国を拠点とする金融機関に関連する詐欺サイトを特定しました。そして私たちが特定したのは、これらのサイトが自身を、衣類からホームグッズまであらゆる製品を販売する割引率の高いディスカウントショップに見せかけており、FacebookやInstagramといったソーシャルメディアにも登場していて、フラッシュセールや高割引率のセールを宣伝しているということです。

 

このように、これらのショップはカードデータを収集しており、顧客に代金を請求するとともにカードデータを収集し、それを使った収益化も行なっていました。つまり、カードデータやカード窃取、そして日本という領域を標的にするものについてお話しようとすると、複数の異なるシナリオが見えてくるということです。そしてその中には、Eコマース詐欺サイトと、「Magecart」感染が含まれます。「Magecart」感染は日本から米国に至るまで、世界的な問題なのです。

 

関連記事:Magecartグループ「Keeper」 570のサイトに感染

     サイバーインテリジェンスのスゝメ

 

reGemini by Gemini Advisory について

gemini