偽サイトのネットワークから成る高度なフィッシング手口が、長年にわたりweb3プロジェクトを標的にし、暗号資産ウォレットから大規模に資金を吸い上げてきた。
2024年4月、Validinが単純な暗号資産フィッシングサイトのネットワークとして最初に検知したが、ほどなくして、この手口ははるかに高度で大規模である可能性が明らかになった。これを受け、インターネット・インテリジェンス・プラットフォーム提供企業は、さらなる調査のためSentinelOneの研究チームであるSentinelLabsと協力することになった。
フィッシングメール、SMS(スミッシング)、SNS投稿、ブログコメントのスパムといった一般的な配信手段に頼るのではなく、調査者がFreeDrainと名付けたこの手口は、SEO操作、無料枠のウェブサービス、段階的なリダイレクト技術を活用して暗号資産ウォレットを狙った。
この作戦は、インド(またはスリランカの可能性もある)を拠点とするチームによって実行されている可能性が高く、少なくとも2022年以降継続している。
ValidinとSentinelLabsは、5月7日から9日にマラガで開催された脅威インテリジェンス会議PIVOTcon 2025で調査結果を公表した。
大規模な暗号資産フィッシングネットワークの解明
2024年4月、Validinは暗号資産を吸い上げるフィッシングページの一連を記録したレポートを公開した。
このレポートは、当時約50万ドル相当の8ビットコインを失ったと主張する人物の目に留まり、その人物がValidinに連絡を取った。
「被害者は、検索エンジンで上位表示された結果をクリックし、ウォレット残高を確認しようとする過程で、フィッシングサイトにウォレットのシードフレーズを知らずに送信してしまった」とSentinelLabsとValidinの研究者は、5月8日の共同レポートで説明している。
シードフレーズ(リカバリーフレーズ、ニーモニックシードとも呼ばれる)とは、暗号資産ウォレットを復元し、関連する資金にアクセスするために用いられる単語の一覧である。
信頼できる暗号資産追跡アナリストにより、被害者の資金を受け取るために使われた送金先ウォレットが使い捨てアドレスであることが確認された。
また、盗まれた資産は暗号資産ミキサーを通じて迅速に移動されたと述べた。ミキサーは、資金を複数の取引に分割して洗浄する難読化手法で、帰属特定や回収をほぼ不可能にする。
研究者らは、失われた資産の回収支援はできなかったものの、この連絡を受けたことで、フィッシング攻撃がより広範で大規模な作戦の一部であることが判明したと報告した。
SEO操作の手法
追加調査の結果、SentinelLabsとValidinの研究者は、おびき寄せページをホストするFreeDrainのサブドメインを38,048件特定した。これらのサブドメインはAmazon S3やMicrosoft Azure Web Appsなどのクラウド基盤上でホストされ、正規の暗号資産ウォレットのインターフェースを模倣している。
フィッシングサイトのネットワークを被害者にとってより魅力的に見せるため、ハッカーはSEO操作手法、無料枠のウェブホスティングサービス(例:GitHub.io、WordPress.com、GoDaddySites、Gitbook)、タイポスクワッティング手法、見慣れた視覚要素、段階的なリダイレクト手法を組み合わせ、正当性があるかのような誤った印象を被害者に与えて欺いた。
「主要なすべての検索エンジンで、上位表示の検索結果の中にこれほど大量のおびき寄せページが現れていることに、私たちは愕然とした」と、研究者らは述べている。
「多くの場合、ページは(やはり多くは正規の暗号資産ウォレットのインターフェースのスクリーンショットである)1枚の大きな画像と、その後に続く数行のテキストだけで構成され、一見役に立ちそうな手順を提示していた。皮肉なことに、中にはフィッシングを回避する方法をユーザーに教えると主張するものさえあった」
一見すると単純だが、これらのウェブページは、検索エンジン利用者が入力しそうな質問に対する直接的な回答を表示していた。この種のページは、特に高い評判のプラットフォーム上でホストされている場合、検索エンジンのアルゴリズムによって評価されやすいことが知られている。
さらにFreeDrainの運用者は、管理が行き届いていないウェブサイトに対して大規模なコメントスパムを行い、検索エンジンのインデックスを通じておびき寄せページの可視性を高めた。これはスパムデクシング(spamdexing)として知られる手法である。
「この手法により、FreeDrainはフィッシングメールや悪意ある広告といった従来の配信ベクターを回避し、被害者がまさに探している場所――信頼された検索エンジンの上位――で被害者に接触できる」と研究者らは記している。
AI支援によるコンテンツ生成
調査者によれば、多くのおびき寄せページのテキストには、大規模言語モデルによって生成された痕跡が見られた。
また、使用された具体的なツールを示すコピペ由来の痕跡が見つかり、「4o mini」といった文字列が含まれていたという。これはOpenAIのGPT-4o miniモデルへの言及である可能性が高い。
調査者は、これらの兆候はFreeDrainの運用者がスケーラブルなコンテンツ作成のために生成AIを利用していたことを示唆する一方で、ときに不注意な運用も行っていたことを示していると指摘した。
攻撃チェーン:段階的な内訳
SentinelLabsとValidinの研究者は、最終的にフィッシングサイトへ至る段階的なプロセスを次のように整理した。
- 主要検索エンジンでウォレット関連のクエリ(例:「Trezor wallet balance」)を検索する
- 上位表示の結果をクリックする(多くはgitbook.ioやwebflow.ioのような一見信頼できそうなプラットフォーム上でホストされている)
- 大きくクリック可能な画像(通常は正規ウォレットのインターフェースの静的スクリーンショット)が表示されたページに到達する
- 画像をクリックすると、フィッシングページに遷移するか、中継サイトへリダイレクトされる
- 最終的なフィッシングサイトに到達する。そこは本物のウォレットサービスをほぼ完璧に複製したもので、ユーザーにシードフレーズの入力を促す
シードフレーズが送信されると、攻撃者の自動化された基盤が数分以内に資金を吸い上げる。
FreeDrainキャンペーンの帰属特定
最後に調査者は、短命なインフラと共有の無料枠サービスの利用により、FreeDrain作戦の帰属特定は困難だったと述べた。
しかし、リポジトリのメタデータ、行動シグナル、タイミングの痕跡を分析することで、運用者の特徴(推定される所在地、作業パターン、連携の度合いなど)について重要な洞察を得ることができたという。
研究者らは、調査によりいくつかの重要な発見があったと報告した。FreeDrainに関連するGitHubリポジトリを分析したところ、コミットで使用されたメールアドレスは固有で、個々のGitHubアカウントに紐づいており、その多くは無料のメールプロバイダーのものだった。
さらに、コミットのタイムスタンプは主にUTC+05:30のタイムゾーンで、インド標準時(IST)に相当していた。これはインド、またはスリランカの可能性も含め、強い地理的関連を示唆する。
この所見は、Webflowなど他サービスのメタデータ分析によっても裏付けられ、ISTタイムゾーンにおける平日9時から17時の明確な勤務パターンが明らかになった。
研究者らは、これらの証拠を総合すると、FreeDrain作戦はインドを拠点とする人物が、標準的な平日勤務時間で実行している可能性が非常に高いと結論づけた。
また、このキャンペーンは少なくとも2022年から活動しており、2024年半ばに活動が大幅に増加し、レポート作成時点でも活動を継続していたと指摘した。
緩和策の提言
調査者は、FreeDrainキャンペーンが示したように、無料枠のコンテンツプラットフォームが悪用防止のための措置を講じ、悪意ある活動への対応を改善することを推奨している。
- 公開コンテンツページから直接悪用報告ができるようにし、信頼できる脅威インテリジェンス・アナリストや脅威研究者との直接の連絡経路を確立することで、悪用報告の仕組みを改善する
- 大量のアカウント作成、類似したドメイン構造、外部フィッシングキットの反復的なホスティングなど、悪用パターンを監視するための基本的な悪用防止ツールに投資する
- 反復的な命名パターンや、サブドメイン間で再利用される同一テンプレートなど、連携した悪用を特定するための検知能力を強化する
翻訳元: https://www.infosecurity-magazine.com/news/freedrain-phishing-scam-crypto/
