TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

インターポール、PhaaS(フィッシング・アズ・ア・サービス)プラットフォーム「SniperDz」を摘発

サイバーセキュリティ企業Group-IBは、インターポール主導のサイバー犯罪取締り作戦により、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームが摘発され、その主要な開発者兼運営者が逮捕されたことを明らかにしました。

オペレーション・ラムズ(Operation Ramz)」と名付けられたこの作戦は、2025年10月から2026年2月にかけて、中東・北アフリカ(MENA)地域の13カ国にわたって展開されました。

5月末にインターポールが発表した成果によると、201人が逮捕され、53台のサーバーが押収されたほか、382人の容疑者と3,867人の被害者が特定されました。

さらに、将来の捜査の開始・支援を目的として、約8,000件ものデータおよびインテリジェンスが参加各国に共有されました。

6月11日、今回の作戦においてインターポールの主要パートナーを務めたGroup-IBは、本作戦によってSniperDzが摘発され、その主要開発者がアルジェリアで逮捕されたことを公表しました

SniperDz——世界規模のPhaaS(フィッシング・アズ・ア・サービス)プラットフォーム

SniperDzは、少なくとも2015年から稼働しているPhaaSプラットフォームです。現在では世界規模で活動しており、既製のフィッシングキット、インフラホスティング、サイバー犯罪者向けの運用サポートなど、高度なサービスを提供しています。

パロアルトネットワークスのUnit 42は2024年、2023年から2024年の間だけで14万件以上のフィッシングページがSniperDzに関連していることを発見したと報告しています。

同研究チームによると、フィッシング攻撃者はSniperDzが所有するインフラ上にフィッシングページをホストするか、SniperDzのフィッシングテンプレートをダウンロードして自身のサーバーで運用するかを選択できるとのことです。

「驚くべきことに、SniperDzのPhaaSはこれらのサービスをフィッシング攻撃者に無償で提供しています。これはおそらく、SniperDz自身がプラットフォームを利用したフィッシング攻撃者によって盗まれた被害者の認証情報を収集することで、サービス提供コストを補填しているためと考えられます」とUnit 42のレポートは指摘しています。

Group-IBは過去9年間の調査を通じて、SniperDzに関連する2万件以上のユニークドメインを特定しました。これらはPayPal、Facebook、Instagram、Yahoo、Netflix、Steamをはじめとする世界的な大手組織30社以上になりすましていました。

Group-IBの調査チームは、アラビア語・英語・フランス語・スペイン語・ヘブライ語の5言語で展開された80種類のフィッシングテンプレートを確認しています。これらは複数の地域にわたり、コンシューマー向け・テクノロジー・決済プラットフォームのユーザーを標的としていました。

被害者は典型的な手口として、認証情報や個人情報、その他の機密データを詐取するために精巧に作られた偽サイトへと誘導されていました。

従来型の認証情報窃取にとどまらず、SniperDzはMENA地域の著名人の知名度と信頼性を悪用したソーシャルエンジニアリング手法も駆使していました。

「脅威アクターたちは著名な政治家になりすました偽のSNSアカウントを作成し、プロモーションオファーや無料インターネットアクセスを装ったフィッシングリンクを拡散していました」とGroup-IBは説明しています。

SniperDzの重大なOpSec(作戦保全)上の失敗

今回の捜査では、容疑者による重大な作戦保全(OpSec)上の失敗が明らかになりました。同容疑者はアフィリエイトの募集・育成を目的として動画チュートリアルを公開していましたが、これらの動画には管理者情報やアカウントの認証情報が意図せず映り込んでいました。

これらの情報に加え、プラットフォームの変遷、アフィリエイトの採用活動、新たなフィッシングテンプレートのリリースなどを記録した数年分のSNS上の活動記録が、Group-IBの捜査官が容疑者のデジタル足跡を追跡・特定する手がかりとなりました。

「Group-IBがインターポールに調査結果を共有した時点で7,300人以上のチャンネル登録者を持つTelegramチャンネルと、1万9,000人以上のフォロワーを持つFacebookアカウントが、2015年から2025年にかけて容疑者がプラットフォームの活動に関与していたことを示す追加証拠となりました」とGroup-IBは付け加えています。

サイバーセキュリティ企業が収集した情報をインターポールに引き渡すと、同機関はアルジェリア国家警察と連携してSniperDzのインフラを無力化し、運営者とみられる人物を逮捕しました。

Group-IBのDmitry Volkov最高経営責任者(CEO)は、今回の事件を「敵対者中心型インテリジェンスがいかに重要であるかを示す教科書的な事例だ」と評しています。

「サイバー犯罪を壊滅させるには、フィッシングページを削除するだけでは不十分です。その背後にいる人物、インフラ、犯罪エコシステムを深く理解することが不可欠です」と同氏は述べています。

「脅威インテリジェンス、犯人特定、そして法執行機関との緊密な連携を組み合わせることで、約10年間にわたるフィッシング活動の責任者を特定し、その活動に終止符を打つことに貢献できました。」

画像クレジット:Dr David Sing / Tang Yan Song / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/interpol-dismantles-sniperdz/

ソース: infosecurity-magazine.com
#Group-IB #MENA地域 #PhaaS #SniperDz #インターポール #オペレーション・ラムズ #サイバー犯罪 #フィッシング #フィッシング・アズ・ア・サービス #脅威インテリジェンス

関連記事

サイバーセキュリティチームの多くが、新たなサイバー脅威に関するトレーニング時間を確保できずに苦闘

恐喝専用攻撃が増加——ランサムウェア被害請求の主役はデータ窃取に

新たな「エージェントジャッキング」攻撃——AIコーディングエージェントを乗っ取る恐れ