オンライン募金詐欺、Killnetの救援活動妨害、トルコ政府によるTwitterへのアクセス規制:トルコ・シリア地震後のサイバー関連の動き | Codebook|Security News
Codebook|Security News > Articles > Threat Report > オンライン募金詐欺、Killnetの救援活動妨害、トルコ政府によるTwitterへのアクセス規制:トルコ・シリア地震後のサイバー関連の動き

Threat Report

Cyber Intelligence

Intelligence

killnet

オンライン募金詐欺、Killnetの救援活動妨害、トルコ政府によるTwitterへのアクセス規制:トルコ・シリア地震後のサイバー関連の動き

山口 Tacos

山口 Tacos

2023.02.20

2023年2月6日月曜日にトルコ南東部のシリアとの国境付近を震源として発生した地震およびその余震により、多数の死傷者や行方不明者、避難者が出るなど甚大な被害が生じています。

一方で、被災者への支援を謳ったネット上の募金詐欺が観測されたり、NATOの救援活動をロシアのハクティビストグループKillnetが妨害しているとの報道がなされたりなど、サイバー領域においても今回の地震に関連した事象が発生しているようです。

 

本記事では、トルコ・シリア大地震後に報じられた3つのサイバー関連の動きについてまとめました。

1, 地震被害者支援を謳った募金詐欺

要点

・トルコ・シリア大地震被災者への支援を名目に人々を騙して寄付をさせ、集まった資金を自分のものにする詐欺師たちについて、セキュリティ専門家が注意喚起している。

・こういった詐欺師たちによる寄付の呼びかけは、TikTokやTwitter、偽の寄付サイトなどで行われている。

・集められた資金は、支援のためには使われずに詐欺師のPayPalアカウントや暗号資産ウォレットへ送られることになる。

・寄付を呼びかける投稿には、実際の地震被害を写した写真ではなく、AIで作成された偽画像が使用されているケースがあった。

募金詐欺の事例

TikTokのライブ配信機能を利用した寄付の呼びかけ

TikTokのライブ配信機能「TikTok LIVE」には、配信中に視聴者が配信者へデジタルギフトを贈ることのできる投げ銭機能があります。BBCの報道によれば、詐欺師らはTikTokでライブ配信を行い、「トルコを支援しよう」、「地震被害者のために寄付を」といったフレーズを表示させて投げ銭による寄付を募っているとのことです。

 

BBCの記事では、3時間以上もライブ配信を行って寄付を募っていたアカウントの事例が紹介されています。この配信では崩壊した建物のピクセル化された空撮写真が画面に映されていましたが、動画外の背後からは男性の笑い声や中国語での話し声が聞こえていたそうです。

 

また別の配信では、子どもが泣き叫びながら爆発現場から逃げる光景を写した画像が使用され、寄付が呼びかけられていました。しかしBBCによれば、この画像は過去にTwitter上に出回っていたものであり、今回の地震とは無関係な画像だったということです。

 

Twitterでの寄付の呼びかけ:AIで作成した偽画像が使われるケースも

BBCによると、Twitter上では、寄付を呼びかける文言と暗号資産ウォレットのリンクが記載されたツイートを、情に訴えかけるような画像とともに投稿している人々が確認されているそうです。

 

あるアカウントは寄付呼びかけのツイートを12時間ごとに、8回にわたって投稿していました。これらのツイートには、崩壊した建物の前で消防士が幼い子供を抱えている画像が添付されています。しかしギリシャ紙「OEMA」の報道によれば、この画像は被災地を写した実際の写真ではなく、AIソフトウェア「Midjourney」を使って作成された偽画像だったというのです。同紙は、「この画像はエーゲ海地域の消防隊に属する少将Panagiotis Kotridis氏によって作成された」と報じています。

 

また、Twitter上では、偽のファンドレイザーアカウントを作成し、PayPalへのリンクを記載したツイートを投稿する詐欺師らも観測されています。Sonatype社のサイバーセキュリティ専門家Ax Sharma氏によれば、こういった偽アカウントは本物の支援団体やニュースメディアであるかのような外観をしているものの、実際には、集まった資金はアカウント作成者自身のPayPalアカウントへ送られてしまうのだそうです。

 

PayPal上の偽ファンドレイザー

トルコ・シリア大地震の発生以降、PayPalでは新たなファンドレイザーが100以上立ち上げられ、被災者支援のための寄付を呼びかけています。しかし、そのうちのいくつかは偽のファンドレイザーであると報じられています。

 

PayPal上のファンドレイザーの中には、「トルコ在住」だと主張するアカウントが作成したものもありますが、Sharma氏によれば、そのようなファンドレイザーはほぼ間違いなく偽物なのだそうです。というのも、2016年以降PayPalはトルコ国内でのサービスを停止しているためです。

 

偽の寄付サイトの利用

米国のサイバーセキュリティ企業Cybleは、13日に公開されたレポートの中で、トルコ・シリア地震の被災者支援を謳って寄付金を募る偽サイトの例を紹介しています。

 

そのうちの1つ「hxxps://redcrossturkey[.]com/」は、実在の支援団体「オックスファム」のロゴを不正に使用し、寄付を呼びかけているそうです。同サイトは利用者に対し、希望寄付額と併せて個人情報(電話番号やEメールIDなど)も提供するよう要求します。利用者がこの情報を提出すると、サイトには「We will contact you soon!!(すぐにご連絡します!!)」というメッセージが表示され、利用者は本物のオックスファムの寄付サイトへリダイレクトされるのだそうです。詐欺師はこうして集めた連絡先情報を使って利用者へ連絡を取り、利用者を騙して自らのアカウントへ送金させようとします。

 

Cybleは、このほかにも「hxxps://help-turkey[.]org/」」と「hxxps://turkeyrelieftoken[.]help/」を偽サイトの事例として紹介しています。

2, ロシアのハッカーグループKillnetによる救援活動の妨害

要点

・親ロシア派ハッキンググループKillnetが、NATOのサイトに対してDDoS攻撃を行ったと主張。

・この攻撃で、NATO特殊作戦司令部のサイトが数時間にわたってダウンした。

・またこの攻撃により戦略航空輸送能力(SAC)も影響を受け、トルコ・シリア地震被災者の捜索や支援に携わるSACのC-17輸送機とNATO関係者との間の通信が妨害された。

KillnetのDDoS攻撃でNATOと救助用航空機との間の通信が妨害される

Telegraph紙は12日、ロシアのハッカーが、NATOとトルコ・シリア地震被災者への支援を行う航空機との間の通信を妨害した、と報じました。同紙によれば、ハッカーグループKillnetによるものとされるサイバー攻撃の発生をNATO関係者も認めているとのことです。

 

またKillnet側もこのDDoS攻撃の犯行声明を出しましたが、詳細はあまり明かしていません。Telegraph紙によると、同グループはTelegramチャンネルの中で、「我々はNATOへの攻撃を行っている。詳細は非公開チャンネルで」と述べたとのことです。

 

この攻撃によりベルギーにあるNATO特殊作戦司令部のWebサイトが数時間にわたってダウンしましたが、その後復旧しています。また、戦略航空輸送能力(SAC)もこの攻撃で影響を受けました。

 

SACとはNATO加盟国が中心となってC-17輸送機の共同調達・管理・運用を進めるイニシアチブのことで、SACのC-17輸送機はさまざまな任務に使用されてきました。今回のトルコ・シリア大地震後にも、被災者に救援物資を届けるためにSACのC-17輸送機が使用されていましたが、同機とNATO側との通信がDDoS攻撃により妨害されたと報じられています。

 

SACのマネージャーが輸送機へ向けて送った警告メッセージによると、NATOのNRネットワーク(機密性の高いデータの伝送に使われていると考えられるネットワーク)がDDoS攻撃被害に遭っていたものとみられます。輸送機との連絡が完全に途絶えたわけではなかったものの、この攻撃により救援活動が妨害されたことはほぼ確実だとされています。

 

関連記事:ハクティビストKillnet(キルネット)のこれまでの動き

3, トルコ政府がTwitterへのアクセスを制限

要点

・2月8日、「トルコ政府がTwitterへのアクセスをブロックした」とインターネット監視団体がツイート。

・トルコでは地震発生直後より、被害の大きかった地域における政府の緊急対応を人々がソーシャルメディア上で批判していた。

・アクセスは同じ日のうちに復旧した。

詳細

インターネット監視団体NetBlocksは2月8日の午後10時半ごろ(日本時間)、Twitter上で、「トルコ政府がTwitterへのアクセスをブロックした」と伝えました。同団体が共有したデータには、トルコの複数のインターネットサービスプロバイダーにおいて完全にTwitterへのアクセスが遮断され、その他のプロバイダーにおいてもアクセスが制限されている様子が示されていました。

 

その数時間後にNetBocksが投稿した別のグラフには、VPNを使用しない限り、一切Twitterへアクセスできない状況になったことが示されていました。これについてNetBlocksは、初回のツイート時と比べてトルコ政府の制限対象となったプロバイダーが増加した、と説明しました。

 

今回の制限措置には、政府の緊急対応に対し、トルコの人々がソーシャルメディア上で不満を表明していたことが関係している可能性があります。地震発生以来、トルコ政府は批判に対して非常に神経質になっていると伝えられており、政府の対応について報道したジャーナリストが拘束されたり脅迫されたりするケースも報告されています。

 

Twitterはこういった災害の際には不可欠な緊急コミュニケーションツールの役割を果たすことが多いため、野党のリーダーKemal Kılıçdaroğlu氏は、アクセス制限の結果、「助けを求める声が届きにくくなっている」として政府を非難しました。

 

なお、Twitter社とトルコ政府との間で協議が行われた結果、同じ日のうちにアクセスは復旧されたとのことです。

最後に

今回はトルコ・シリア大地震後に報告されたサイバー関連の3つの事象についてまとめてみましたが、今後もニュースを注視し、新たな動きがあった際には本サイトにてお伝えできればと思います。

また弊社では、この地震で被害に遭われた方々に心よりお見舞い申し上げるとともに、被災地の一刻も早い復旧をお祈りしております。

情報源

“Scammers profit from Turkey-Syria earthquake”

https://www.bbc.com/news/world-europe-64599553

 

“Increase in fake donation schemes following massive earthquake in Turkey”

https://blog.cyble.com/2023/02/13/increase-in-fake-donation-schemes-following-massive-earthquake-in-turkey/

 

“Fake donation schemes blossom after devastating earthquake in Turkey and Syria”

https://cybernews.com/news/earthquake-turkey-fake-donation-schemes/?utm_source=twitter&utm_medium=social&utm_campaign=cybernews&utm_content=tweet

 

“Russian hackers disrupt Turkey-Syria earthquake relief”

https://www.telegraph.co.uk/world-news/2023/02/12/russian-killnet-hackers-disrupt-natos-turkey-syria-earthquake/

 

“Russian hackers Killnet disrupt NATO’s aid mission in quake-hit Turkey and Syria”

https://english.alarabiya.net/News/world/2023/02/13/Russian-hackers-Killnet-disrupt-NATO-s-aid-mission-in-quake-hit-Turkey-and-Syria

 

Turkey’s government restricts access to Twitter amid earthquake response

https://therecord.media/turkey-twitter-blocked-earthquake/

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ