複数ライセンス割引見積
脅威データベース フィッシング スミッシングトライアドの脅威アクター

スミッシングトライアドの脅威アクター

フィッシング, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

2024年1月1日以降、194,000以上の悪意あるドメインに大規模なスミッシング攻撃が仕掛けられており、世界中の幅広いサービスを標的としています。この攻撃では、偽のSMSメッセージを利用してユーザーを騙し、機密情報を漏洩させようとします。多くの場合、料金違反や誤配の荷物を装います。

ドメインは香港を拠点とするレジストラを通じて登録され、中国のネームサーバーを使用しているにもかかわらず、攻撃インフラストラクチャは主に米国でホストされているクラウド サービスから運用されており、世界規模で分散された設定を反映しています。

スミッシングトライアド:中国関連の脅威アクター

このキャンペーンは、スミッシング・トライアドとして知られる中国系グループによるものとされています。このグループは、モバイルデバイスに詐欺的な通知を大量に送信することで悪名高い集団です。過去3年間、これらのキャンペーンは非常に大きな利益を上げており、脅威アクターたちは10億ドル以上の収益を得ています。

最近の調査結果では、攻撃者の戦術が大きく進化していることが浮き彫りになっています。フィッシングキットは、銀行の認証情報や認証コードを盗むために、証券口座を標的とするケースが増えています。これらの口座への攻撃は、2024年の同時期と比較して、2025年第2四半期には5倍に増加しました。攻撃者は一度侵入されると、「ランプ・アンド・ダンプ」手法を用いて株価を操作し、最小限の証拠しか残しません。

フィッシング・アズ・ア・サービス:巧妙に機能する犯罪エコシステム

スミッシング トライアドは、単純なフィッシング キット プロバイダーから、複数の専門アクターで構成される非常にアクティブなフィッシング サービス (PhaaS) コミュニティへと変貌を遂げました。

  • フィッシングキット開発者 – ツールを作成します。
  • データ ブローカー - 対象の電話番号を提供します。
  • ドメイン販売者 – フィッシングサイトをホスティングするための使い捨てドメインを登録します。
  • ホスティングプロバイダー – サーバーを管理します。
  • スパマー – 詐欺メッセージを大規模に配布します。
  • 生体スキャナー – アクティブな電話番号を検証します。
  • ブロックリスト スキャナー – ローテーションのためにブロックリストとドメインを照合します。

このエコシステムにより、迅速な展開と継続的な適応が可能になり、検出と中断が困難になります。

ドメイン登録とチャーン戦略

分析の結果、136,933件のルートドメインのうち、約93,200件(68.06%)がDominet (HK) Limitedに登録されていることが明らかになりました。これらのドメインのほとんどは.comプレフィックスを使用していますが、ここ数ヶ月は.govドメインの登録数が増加しています。

このキャンペーンは、急速なドメインの転換に大きく依存しています。

  • 29.19%のドメインは2日以内アクティブでした
  • 71.3%は1週間未満アクティブだった
  • 82.6%は2週間以内に活動した
  • 3ヶ月以上生存したのは6%未満

この変化と、194,345 個の FQDN が 43,494 個の固有 IP (主に米国の Cloudflare 上) に解決されることで、脅威の攻撃者は継続的に検出を回避できます。

インフラストラクチャの洞察とグローバルリーチ

キャンペーンのインフラストラクチャ分析から得られた主な結果は次のとおりです。

  • 米国郵便公社は、28,045 個の FQDN を持ち、最も偽装されているサービスです。
  • フィッシング FQDN が約 90,000 個あり、有料サービスのルアーが主流となっています。
  • 最も多くのトラフィックを生成するドメインは主に米国でホストされており、次いで中国とシンガポールとなっています。

被害者は、ロシア、ポーランド、リトアニアなどの国の銀行、暗号通貨取引所、配送サービス、警察、国営企業、有料道路サービス、相乗りアプリ、ホスピタリティサービス、ソーシャルメディア、電子商取引プラットフォームなど、複数の分野にわたって標的にされています。

政府を装った攻撃では、多くの場合、未払いの通行料やサービス料を請求するランディング ページにユーザーをリダイレクトし、ClickFix のルアーを利用して、ユーザーを誘導し、CAPTCHA 検証を装った悪意のあるコードを実行させます。

世界的な影響を及ぼす分散型の脅威

スミッシング・トライアド・キャンペーンは、世界的な広がりと分散化を実証しています。攻撃者は毎日数千ものドメインを登録・切り替え、多様なサービスを模倣することで、最大限の影響力を発揮しています。米国の有料通話サービスを標的としたスミッシング・キャンペーンは、大規模かつ適応性に優れ、収益性の高い犯罪組織のほんの一面に過ぎず、その規模は拡大を続けています。

トレンド

Pixnapping Androidの欠陥

脆弱性
サイバーセキュリティ研究者らは、GoogleとSamsungのAndroidデバイスに影響を与える重大な脆弱性「Pixnapping」を特定しました。このサイドチャネル攻撃では、悪意のあるアプリがユーザーの知らないうちに画面のピクセルをキャプチャすることで、2要素認証(2FA)コードやGoogleマップのタイムラインなどの機密データを密かに盗み出すことができます。この攻撃はピクセル単位で実行されるため、非常に正確かつステルス性に優れています。 ピクナッピングの仕組み:その核心はピクセル窃盗 Pixnappingの根幹は、標準的なブラウザの緩和策を回避し、Google Authentica...

私の天気タブのブラウザ拡張機能

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
研究者らは、「My Weather Tab」として知られるブラウザ拡張機能を特定しました。包括的な調査により、この拡張機能はブラウザ ハイジャック ソフトウェアの一種として機能することが判明しました。その主な目的は、ユーザーの Web ブラウザの設定を変更し、リダイレクトを使用して「myweathertab.xyz」と呼ばれる偽の検索エンジンを宣伝することです。 疑わしいブラウザ拡張機能、特...

Plasma (XPL) Allocation Scam

不正なウェブサイト
インターネットは無限の可能性を秘めていますが、同時に無数のリスクも伴います。サイバー犯罪者は、ユーザーを騙して金銭や機密情報を渡させる新たな手口を常に考案しています。中でも最も危険な脅威の一つが、暗号通貨業界を狙った詐欺です。詐欺サイトへのアクセスや、不正なプラットフォームへのウォレット接続といったたった一つのミスが、取り返しのつかない経済的損失につながる可能性があるため、常に警戒を怠らない...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
52,610
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
40,330
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
38,425
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...