米国だけで4,000万ドル超の詐欺被害を可能にするために利用されていた、RedVDSと呼ばれる人気のサイバー犯罪者向けサブスクリプションサービスが、マイクロソフトによって停止に追い込まれた。
マイクロソフトのアシスタント・ジェネラル・カウンセルであるスティーブン・マサダ氏によれば、RedVDSはサイバー犯罪者に使い捨ての仮想コンピューターを提供し、詐欺を安価で拡張可能にし、追跡を困難にしていた。
マイクロソフトは、ユーロポールおよびドイツ当局と連携した、より広範な国際的法執行作戦の一環として、米国と英国で訴訟を提起した。
同社は法執行機関と協力し、RedVDSのマーケットプレイスと顧客ポータルをホストしていた2つのドメインを差し押さえるとともに、この計画の背後にいる人物の特定に向けた措置も講じた。容疑者名は公表されていない。
ドイツの州刑事警察は、RedVDSを稼働させていたサーバーを押収し、マーケットプレイスをオフラインにした。
「RedVDSはオンラインのサブスクリプションサービスで、サイバー犯罪者が大規模な攻撃を仕掛けるためのサービスやツールを売買する、拡大するサイバー犯罪サービス化(cybercrime-as-a-service)エコシステムの一部です」とマサダ氏は述べた。「Windowsを含む無許可ソフトウェアを実行する、安価で効果的かつ使い捨ての仮想コンピューターへのアクセスを提供し、犯罪者が迅速に、匿名で、国境を越えて活動できるようにしていました。」
サイバー犯罪者は月額わずか24ドルでプラットフォームにアクセスでき、フィッシングメールの送信、詐欺インフラのホスティングなどに利用していた。RedVDSは2019年から存在し、バハマに拠点があるとされる架空企業を通じて公然と運営されてきた。顧客の大半はビットコインなどの暗号資産で同サイトのサービスを購入していた。
マサダ氏は、ある1か月だけで、マイクロソフトは2,600台を超えるRedVDSの個別仮想マシンが、マイクロソフトの顧客に対して1日平均100万通のフィッシングメッセージを送信しているのを確認したと説明した。
ほとんどのメッセージはブロックされたが、一部は標的の受信箱に届いた可能性が高く、9月以降、RedVDSを利用した攻撃は「世界中の13万超の組織にまたがる19万1,000超のマイクロソフトのメールアカウントの侵害または不正アクセスにつながった」と同氏は付け加えた。
マイクロソフトは、アラバマ州に拠点を置く製薬会社H2 Pharmaと、フロリダ州のGatehouse Dock Condominium Associationという2つの共同原告とともに、プラットフォームを停止させるための民事訴訟を提起した。
H2 Pharmaでは、サイバー犯罪者がRedVDSを使って730万ドル超を盗み、コンドミニアム協会は修繕のために住民や不動産所有者が拠出した資金約50万ドルを失った。
不動産詐欺
サイバー犯罪者は通常、ビジネスメール詐欺(Business Email Compromise)としても知られる支払い転送詐欺にRedVDSを利用していた。このプラットフォームにより、脅威アクターはメールアカウントに侵入し、やり取りを監視し、支払いや送金の直前にメールのスレッドへ割り込むことができた。
メールのやり取りに登場する別の関係者になりすますことで、ハッカーは組織が送金先を誤ったと気づくよりはるか前に、数秒で資金を迂回させることができる。
マサダ氏は、RedVDSが不動産の支払い転送詐欺の拡散における主要な存在であると指摘した。この問題は、最近、司法省によって注目された。
サイバー犯罪者は、不動産仲介業者、エスクロー(第三者預託)担当者、または権原(タイトル)会社を狙うケースが増えており、住宅の頭金を支払っていると思い込んでいる人々から送金された数百万ドルを盗んでいる。
「家族や初めて住宅を購入する人々にとって、その影響は壊滅的になり得ます。たった一度の支払いの迂回で、生涯の貯蓄が消えたり、住宅購入そのものが頓挫したりするのです」とマサダ氏は述べた。
「マイクロソフトは、不動産分野だけでも9,000を超える顧客に影響するRedVDS関連の活動を確認しており、特にカナダやオーストラリアなどの国々で深刻な影響が見られます。そして脅威は不動産にとどまりません。RedVDSを利用した詐欺は、建設、製造、医療、物流、教育、法務サービスなど多くの分野を直撃し、生産ラインから患者ケアに至るまで、あらゆるものを混乱させています。」
マイクロソフトは、サイバー犯罪者が偽の請求書や、支払い口座の変更を要求するメールを送信し、緊急性をあおって被害者にできるだけ早く送金させていることを確認した。場合によっては、未払いの偽請求書を送り、当日中の債務支払いを要求した。
RedVDSは物理的なデータセンターを所有しておらず、米国、カナダ、英国、フランス、オランダの第三者ホスティング事業者からサーバーを借りていた。これによりサイバー犯罪者は、標的に近い場所のIPアドレスから被害者を攻撃でき、位置情報に基づくセキュリティフィルターを回避できた。
ユーロポールはまた、RedVDSの顧客を支えていた、より広範なサーバーネットワークおよび決済ネットワークの妨害にも協力した。
「出来合い」
マイクロソフトによれば、RedVDSはサイバー犯罪者が、Windowsベースのリモートデスクトッププロトコル(RDP)サーバーに、完全な管理者権限と利用制限なしでアクセスするための手段だった。
同社は最終的に、数千件の盗まれた認証情報、標的組織から盗まれた請求書、大量送信ツール、フィッシングキットを、このプラットフォームへとたどり着いた。
サイバー犯罪者は、複数の異なるツールを使ってメールアドレスの大規模データベースを検証し、メールリストを分類・整形し、RedVDSのインスタンスを通じて一括メールを送信していた。また、プライバシー重視のウェブブラウザーやVPNを用いて身元を隠していた。
一部の利用者は、ChatGPTやその他のOpenAIツールを使って、英語で説得力のあるメールを書いていた。
「プロビジョニングされると、これらの複製されたWindowsホストは、標的の調査、フィッシングインフラの準備、認証情報の窃取、メールボックスの乗っ取り、なりすましに基づく金融詐欺の実行を、ほとんど摩擦なく行うための出来合いの基盤をアクターに提供しました」と研究者らは説明した。
「脅威アクターは、RedVDSの無制限の管理者アクセスと、ほとんど記録が残らないログ運用の恩恵を受け、実質的な監視なしに活動できました。RedVDSサーバーは均一で使い捨てという性質のため、サイバー犯罪者はキャンペーンを迅速に反復し、大規模に配信を自動化し、初期の標的化から金銭窃取へと素早く移行できました。」
RedVDSに関連する他のプラットフォームは、PDFまたはHTMLの誘導用添付ファイルを生成し、メール送信サイクルを自動化し、正規サイトに見せかけたフィッシングドメインを作成する。
30日間で、マイクロソフトはRedVDSインフラに関連する7,300超のIPアドレスを確認し、それらが合計で3,700超の、正規プラットフォームになりすますために作られたドメインをホストしていた。
被害者がウェブサイトに認証情報を入力すると、RedVDSはトークンやクッキーの抽出を容易にし、サイバー犯罪者が多要素認証を回避できるようにした。
盗まれた情報を使って、利用者はメールボックスにログインし、財務、請求書、またはサプライヤーに関する会話がないかを検索した。
マイクロソフトは、サイバー犯罪インフラを停止させるために同社が起こした民事措置として、今回が35件目だと述べた。2025年秋には、サイバー犯罪者がユーザー名とパスワードを盗むために使用していた、RaccoonO365と呼ばれる人気サービスを停止させるため、同様の措置を講じた。ナイジェリアでは少なくとも1人の男性が、RaccoonO365プラットフォームを運営していたとして逮捕された。
マイクロソフトがRacoonO365のフィッシングサービスを利用しているのを確認したサイバー犯罪者の多くは、RedVDSも利用していた。
翻訳元: https://therecord.media/microsoft-redvds-cybercrime-scam
