ダークウェブのハッカーが旅行代理店として副業

出典：Image Professionals GmbH（Alamyストックフォト経由）

旅行のオトクな話があまりにも良すぎると感じたら、それはおそらく本当ではありません。

Trustwaveは7月21日、「ダークウェブ旅行代理店」と呼ばれる脅威アクターの一種について詳細を発表しました。これらの脅威アクターは、盗まれたクレジットカード、企業ポータルの認証情報、ロイヤリティプログラムのアカウント、さらには偽造身分証明書を使い、ダークネット市場や掲示板で顧客向けに割引旅行を手配しています。提供された例の一つでは、「代理店」がSkyscannerの航空券を40％オフ、Booking.comのホテルを45％オフで提供していました。ここには明らかな消費者リスクがありますが、コスト削減を目指す中小企業（SMB）、在宅勤務者、出張の際に自分で旅行手配をする従業員にも影響を及ぼす可能性があります。そしてもちろん、不正な旅行予約に使われた正規のサイトもブランド悪用のリスクにさらされます。

この手口自体は新しいものではありませんが、Trustwaveによると、過去2年間で盗まれた個人データの流通が拡大したことで、これらの活動も「大幅に拡大」しています。この成長は、自動化された攻撃手法の台頭とも一致しています。

TrustwaveのNikita Kazymirskyi氏（昨日の調査ブログ記事の著者）は、これらの代理店を「デジタル犯罪の連鎖の最後のリンク」と表現しています。

ダークウェブ旅行の急増

ダークウェブ旅行の予約までの道のりは、詐欺と窃盗で舗装されています。Kazymirskyi氏によれば、脅威アクターはフィッシングキャンペーン、マルウェア、データ侵害を通じて認証情報を収集します。認証情報の窃取はサイバー犯罪において依然として大きな懸念事項であり、攻撃者の手法は日々高度化しています。

「これらのアンダーグラウンドサービスは、時にはプロフェッショナルに見えるインターフェースで、さまざまな支払い方法を受け付け、正規の企業や消費者を犠牲にして割引航空券、ホテル予約、さらにはレンタカーまで提供します」とKazymirskyi氏は述べています。「こうした脅威の高度化に対応して、航空業界やホスピタリティ業界の主要企業はサイバーセキュリティ対策を強化し始めています。」

動画要約：Dark Readingの上級ニュースライター、Alex Culafi氏が、盗まれたクレジットカードやロイヤリティプログラムのアカウントを使って顧客向けに大幅割引の旅行を手配するダークウェブ旅行代理店（サイバー犯罪者）の増加現象を解説します。

顧客はフォーラムやシンプルなランディングページで旅行「会社」とやり取りし、興味を示した後、「代理店」がTelegramやTOXなどのメッセージングプラットフォームを通じて直接購入者と連絡を取ります。顧客が旅行の詳細をリクエストし、販売者が本物の旅行代理店のように価格や空き状況を返信します。

「この仕組みにより、サイバー犯罪者は柔軟性と匿名性の両方を手に入れます。暗号化されたチャットアプリに業務を移すことで、証拠となるインフラのホスティングを回避し、法執行機関への露出を減らせます」とKazymirskyi氏は説明します。「一方、深い割引や『質問なし』の約束に引き寄せられた顧客は、盗まれたデータと金融詐欺だけで成り立つサプライチェーンに加担しているという広い意味での影響を無視しがちです。」

「代理店」は盗まれた金融・個人データを使って旅行を予約し、顧客はほどなくして確認書を受け取ります。Trustwaveのブログ記事によると、これらは「通常は正規のもので、実際の航空会社やホテルのシステムを通じて予約されています」。支払い面では、旅行は一般的に暗号通貨やギフトカードで予約され、クレジットカードなどは使われません。

Recorded Futureの決済詐欺インテリジェンス部門ディレクター、Ilya Volovik氏によれば、この手法は「非常に長い間」存在していましたが、COVID-19のロックダウン時など、オンライン取引の世界的増加とともにより顕著になっています。顧客は休暇や出張だけでなく、他の目的にも利用しています。

「これはレジャー旅行だけでなく、一部のサイバー犯罪者は『ミュール』（マネーミュールやドラッグミュールなど）の移動手配にも使っています」と同氏は述べます。Volovik氏は、Recorded FutureのPayment Fraud Intelligenceチーム（当時Gemini Advisory）が2020年10月にこれらのサービスについて初めて報告し、それ以来「大きな変化はない」と付け加えています。

認証情報窃取のマネタイズの広がり

脅威アクターの標準的な手口は、認証情報をダークウェブのマーケットプレイスで個別またはバンドルで販売することですが、ダークウェブ旅行予約は被害者をマネタイズする新たな道を提供します。SophosのフィールドCISO、John Shier氏によれば、認証情報の販売は「ますます混雑した市場となっており、脅威アクターが差別化を図り、新たな収入源を開拓しようとするのは当然のことです。」

Shier氏は、旅行予約や認証情報の直接販売に加え、悪意のある者は盗まれた個人データを使ってID盗用、「シンセティックID」の不正作成、商品の購入・転売、非常に個別化されたソーシャルエンジニアリング攻撃の作成などにも利用できると述べています。

セキュリティベンダーHalcyonのリサーチディレクター、Anthony Freed氏は、脅威アクターが認証情報を使って銀行口座、投資プラットフォーム、暗号ウォレットを乗っ取ったり、現金化できる物理的商品やデジタルギフトカードを購入したり、給与振込を横取りしたりすることもあると付け加えています。

「最終的に、脅威アクターは盗まれた金融情報を柔軟な商品として扱います」とFreed氏は述べます。「目的は常に、最も手間がかからず、最大のリターンが得られる方法でできるだけ多くの価値を引き出すことです。旅行詐欺は、広範で適応力のある犯罪エコシステムの中の一つの道にすぎません。」

不正な航空券予約との戦い：供給側の努力が重要

この問題に対抗するため、Trustwaveは、悪意のある者に予約サービスを提供する航空業界とホスピタリティ業界でのセキュリティ投資の強化が必要だと指摘しています。航空業界では、生体認証ID管理、より強力な脅威検知、セキュアなAPIが求められます。ホスピタリティ業界では、詐欺検知や従業員教育が重要です。

これにより脅威アクターの活動は難しくなるはずですが、実際にはダークウェブ旅行代理店との戦いは「もぐらたたき」のようなもので、防御側が予約の抜け穴を塞いだり、認証情報窃取対策を強化したりしても、脅威アクターはすぐに別の方法を見つけます。ロイヤリティプログラムが多要素認証（MFA）を導入したり、クレジットカード会社がトークンを実装したりしても、それで終わりではありません。

「一つの窓が閉じれば、別の窓が静かに開く――しばしば異なるサービスカテゴリや別のプラットフォームで」とKazymirskyi氏は説明します。

ホスピタリティや旅行業界全体で見られる一般的な警告サインとしては、新規アカウントによる直前の高額または国際予約、頻繁な支払い失敗、休眠アカウントや海外IPアドレスからの予期しないロイヤリティポイント利用、チェックイン時の情報不一致などがあります。

Trustwaveは、関係する防御担当者に対し、ダークウェブやTelegramチャンネルでのブランド悪用の監視、最前線の従業員への詐欺兆候の教育、APIアクセスの見直し、情報共有ネットワークへの参加、影響を受けた顧客との透明なコミュニケーションを推奨しています。

Rapid7の上級脅威インテリジェンスリサーチャー、Jeremy Makowski氏によれば、この攻撃タイプの救いは、その複雑さゆえに、単に認証情報を販売するよりも大規模化や自動化がはるかに困難である点です。

「旅行予約詐欺には、予約プラットフォームの専門知識、不正検知システムを回避する技術、顧客とのやり取り能力など、より高度な運用知識が必要であり、これらはすべてリスクが高く、より多くの労力を要します」とMakowski氏は述べます。

さらに同氏は、「認証情報の販売は、最小限の労力で済む低リスクなアプローチです。脅威アクターは、ほとんど技術的スキルやリスクを負うことなく、大量の盗難データを販売できます。旅行予約サービスの提供は、より高いリスクと労力を引き換えに、より大きな金銭的報酬を得ることができます。不正に予約された旅行サービスは、1件のチケットで1人あたり数百ドルを生み出すこともあります。」