TokyoBlackHatNews

gbhackers.com 4分で読了

研究者らがカード詐欺市場をホスティングする固有IP 28件とドメイン85件を特定

2025年7月から12月にかけて、サイバーセキュリティ企業Team Cymruはカード詐欺(carding)インフラに関する大規模な分析を実施し、違法なカード詐欺市場およびフォーラムを積極的にホストする固有のIPアドレス28件とドメイン85件から成る高度なネットワークを明らかにしました。

本調査では、決済カード不正キャンペーンの対策に取り組む金融機関、法執行機関、フラウド・フュージョン・センターにとって重要な技術的フィンガープリンティング手法が用いられました。

Team Cymruのインフラ追跡能力により、サイバー犯罪者が完全に防御を固める前に、カード詐欺関連のIPアドレスを早期に特定でき、世界の防御側コミュニティに利点をもたらします。

インターネット全体を対象としたスキャンにより、アナリストは難読化レイヤーの背後に隠れる前に、新規作成または変更されたサーバーを検知できます。

こうした初期段階のIPアドレスは、召喚状、テイクダウン作戦、証拠収集の取り組みにとって重要な証拠を提供します。

さらに、Team CymruのNetFlow分析機能により、カード詐欺オペレーションで使用されるIPアドレスに直接接続された関連インフラを研究者がマッピングできます。

主な調査結果

調査では、カード詐欺市場およびフォーラムのログインページまたはフォーラムのランディングページをホストする固有IPアドレス28件が特定されました。

重要な発見として、このインフラをホストする自律システム番号(ASN)の多くが、国際的な法執行協力が限定的な法域で運用されるオフショア・インフラ提供事業者に属していることが明らかになりました。

また、カード詐欺インフラで最も多く使用されているトップレベルドメイン(TLD)は.su、.cc、.ruであり、これらは法域上の遮蔽と最小限の監督を提供することも判明しました。

Team Cymruは、インターネット全体のポートスキャン、パッシブDNS収集、NetFlowデータを活用し、大規模なインターネット・テレメトリとメタデータ分析を用いました。

手法としては、ポート80および443上のHTTP/HTTPSのタイトルバナーに対して正規表現(Regex)検索を実行し、「CVV」「Dumps」「Carding」「Shop」といったカード詐欺特有のキーワードを発信しているサーバーを特定しました。

アナリストはさらに、X509証明書をインデックス化してSubject Common Nameを分析し、再利用された証明書属性に基づいて関連インフラをクラスタリングできるようにすることで、アプローチを洗練させました。

Image
Team Cyrmruが遭遇したカード詐欺フォーラムのスクリーンショット。

このインターネット全体スキャンの利点は、Cloudflareのようなコンテンツ配信ネットワーク(CDN)がそれらを覆い隠す前に、基盤となるオリジンサーバーを特定できる点にあります。

初期設定段階でサーバーの識別情報とホストIPアドレスを取得することで、研究者はCDNベースの難読化を回避し、これらの違法マーケットプレイスが存在する耐弾ホスティング環境をマッピングできます。

オフショア・ホスティングの選好

ASN分布から、複数のカード詐欺市場がPrivexのサーバー上でホストされていたことが明らかになりました。Privexは「プライバシー重視のインフラ」を掲げ、専用の仮想専用サーバー(VPS)を提供しています。

Image
Team Cymruが特定した、カード詐欺インフラをホスティングするASN。

犯罪者は身元情報を提供せずにこれらのサーバーを購入でき、結果を問われることなく違法コンテンツをホストできます。

注目すべき点として、PrivexのAS210083はSliverのような攻撃的セキュリティツールもホストしており、カード詐欺者が好むホスティングサービスは通常、複数種類の悪意あるキャンペーンを同時に支援していることを示しています。

Image
カード詐欺インフラにおけるTLDの件数。

固有IPアドレス28件全体で、研究者はカード詐欺関連の固有ドメイン85件を特定しました。.su、.cc、.ruのTLDが高い比率を占めることは、サイバー犯罪者による戦略的な選択を反映しています。

消滅した国家に属するソビエト連邦の.su TLDは、緩い登録および不正利用ポリシーの下で運用されています。

.ccドメインは、「credit card(クレジットカード)」を想起させつつ、安価で一括登録が容易であるため好まれます。一方、.ruドメインは、サーバーが物理的にロシア国内にある場合、西側の裁判所命令から効果的に隔離する役割を果たします。

Team Cymruの研究者は、インターネット・テレメトリ収集能力を用いてサイバー犯罪インフラの調査を継続しています。

Team Cymru Scoutを通じて、顧客は高度な検索クエリを実行し、カード詐欺市場とその隠れたバックエンドサーバーを能動的に特定できます。

NetFlow分析は連携するインフラを明らかにし、不正対策チームが個々の不正取引をより広範な犯罪ネットワークへと結び付けられるようにします。

この手法は、ネットワーク・インテリジェンスを能動的な妨害ツールへと変換し、世界中の脅威アクターの運用コストを引き上げます。

翻訳元: https://gbhackers.com/carding-markets/

ソース: gbhackers.com
#IPアドレス追跡 #NetFlow分析 #TLD(.su・.cc・.ru) #インターネット全域スキャン #オフショア・ホスティング #カーディング市場 #カード詐欺 #サイバーセキュリティ #パッシブDNS #不正ドメイン

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚