米国IC3とFBIが最近時の３種類のサイバー詐欺手口情報を開示

 

　6月19日、FBIとIC3は3種類のサイバー詐欺の手口に関する警告を発した。
(1)電信送金(筆者注1)会社のテクニカル・サポートと称する電信送金アカウント情報の詐取手口、(2)未成年の時期に犯しかつ封印がなされたといった不正確な大量の逮捕歴のある被害者の顔写真(mug shot)情報をウェブ上に掲示、その削除の代替として正しい運転免許証、裁判歴等を求める個人情報の詐欺手口、(3)スカイプの短縮URL(筆者注2)やIM プラットホーム(筆者注3)を受け取るユーザーは“Liftoh”(筆者注4)と呼ぶ新しいトロイの木馬に要注意、という内容である。

　今回のブログは、各手口の概要を仮訳するとともに補足説明を行う。

１．電信送金会社のテクニカル・サポートを名乗る電話による被害者のPCをリモートで操作すべく偽ウェブサイトへ誘導

・IC3に電信送金会社(wire transfer company)のテクニカル・サポートと名乗る個人から詐欺的電話が事業会社にかかってきた旨の苦情の届出があった。1社の苦情例では被害会社の「発信者ID(caller ID)」が電信送金会社の画面上に表示された。電話をかけてきた者(callers)は被害者に対し、callerがリモートで被害者のPCにアクセスすべくアプリーケーションを起動させるため特定にウェブサイトの接続するよう指示した。

・一度、リモートのアクセスが可能となると、犠牲者は自身の電信送金プログラムを開き、アカウントにログインするよう指示した。その結果、callersは犠牲者のシステムをアップデートできた。
　さらに、被害者はアップデートによる干渉を回避するためモニター画面を切るように指示された。

・その後に犠牲者は、プリペイド・デビット・カード会社“NetSpend”アカウントへのアクセスであることが判明した。

・また、その他の被害者の場合、callerがいったん遠隔アクセス権を得ると自身のコンピュータに何かがダウンロードされていることに気がついた。疑わしく感じた被害者は直ちにPCをオフにした。しかし、後日、被害者は自分の口座からcallersがプリペイド・クレジット・カードで950ドル(約9万円)を運び出したことが判明した。

・さらに、別の被害者は詐欺的電信送金が各州や個人宛に行われたとIC3に報告したが、callerは実際にはいかなる電信送金も行われていないと被害者を意図的に安心させたという。

２．ウェブサイトにいい加減な逮捕歴のある被害者の顔写真(mug shot)情報を掲示のうえ脅迫

・20の異なるウェブサイトが同じ手口で未成年時の前科者等にいい加減な写真等をサイト上に公開のうえ個人ID情報や運転免許証のコピーの提示を脅迫する手口に関する数百の苦情申立がIC3に出された。

・何人かの被害者は、逮捕時に未成年(18歳未満)であり、その記録は封印(筆者注5)されたものであった。したがって、この情報は広く一般人が利用すべきでないものであると主張した。またその他のものはサイト上に掲示された情報は不正確であるか、露骨な内容であったと述べた。

・顔写真(mug shot)の削除を要求する被害者は運転免許証、裁判記録よその他個人識別情報のコピーを提供せねばならなかった。しか氏それらの情報の提供は成りすまし詐欺のリスクをもたらす。

・被害者の中には顔写真をウェブ上から削除するために費用を負担した者もあったが、実際には削除はおこなわれなかった。仮に削除されても再び被害者の顔写真が類似のウェブ上に掲示された。

・仮に、被害者が違法な行為としてウェブサイトを法執行機関等に報告するというと、ウェブサイトの所有者は犠牲者に対しより被害者にとってダメージの大きな情報を徐々に広げるといって脅した。

３．攻撃者はスカイプやその他のＩＭアプリを使用してトロイの木馬“Liftoh”を感染

・スカイプのインスタントメッセージや同種のIMプラットフォームで短縮URLを受け取るユーザーは“Liftoh”と呼ばれるとロイの木馬に用心深くあるべきである。シマンテック研究員のドリゴ・カルボ(Rodrigo Calvo)はシマンテックレポート(筆者注6)で“Liftoh”ラテンアメリカで感染していると述べている。

・被害者がいったん標的になるとURLを含むスペイン語のメッセージを受け取る。このメッセージはまるでスカイプのコンタクトリストの写真にリンクする誰かから受信しているがごとくに見える。もし、クリックするとユーザを“Liftoh”を含む武器化した圧縮ファイルを起動させる“4shared.com”に再度仕向ける。その結果、木馬は追加してマルウェアをダウンロードできる。

・シマンテックは、違法なURLは、17万回以上クリックされていると指摘している。

  *********************************************************************::::::****

(筆者注1) 電信送金（ wire transfer/funds transfer ）とは、一定の資金を受取人（ beneficiary person〔自然人および法人〕）が別の金融機関で利用しうることを目的とする、送金人（originator person〔自然人および法人〕）のために、金融機関を通じて電子的手段で行われるあらゆる取引を指す。送金人と受取人は同一人である場合も含む。 (筆者ブログ参照)

(筆者注2) 「短縮URL(shortended URL)」とは正規の長いURLを短縮して送信するもので、各検索サイトなどが変換サービスを提供している。例えば、長いURL "http://en.wikipedia.org/wiki/URL_shortening" を次のように短縮する "http://bit.ly/urlwiki", "http://tinyurl.com/urlwiki", "http://is.gd/urlwiki" or "http://goo.gl/Gmzqv". This is especially convenient for messaging technologies such as Twitter and Identi.ca which severely limit the number of characters that may be used in a message.(Wikipedia解説 から一部抜粋)

(筆者注3) インスタント・メッセンジャー（Instant Messenger ：IM、IMクライアント）とは、コンピュータネットワークを通じてリアルタイムコミュニケーションを実現するアプリケーション。接続中のユーザーを確認し、ユーザー間でリアルタイムに短いメッセージをやりとりすることができる。近年ではファイル送受信機能や音声通話機能、さらにはビデオチャット機能などの搭載が進んでいる。(Wikipedia 解説から一部抜粋)

(筆者注4) 「Downloader.Liftoh は、侵入先のコンピュータに脅威をダウンロードするトロイの木馬です。」発見日: 2013 年 5 月 3 日　シマンテックのリリースから引用

(筆者注5) カリフォルニア州オレンジ郡最高裁判所の青少年の前科記録の抹消手続き、およびローファームのkatiewalshlaw.com の解説文を仮訳する。

○青少年の犯罪記録の抹消手続き
　あなたの18歳未満に犯した青少年時代の犯罪記録はあなたの前科として記録に残る。 あなたは18回目の誕生日現在、あなたはあなたの少年時期の犯罪記録の封印をさせると青少年裁判所に申請するのが的確である。あなたの犯罪記録がいったん封印されるといかなる者もそれらへのアクセスを行うことは不可となる。さらに、犯罪記録は封印の日付から5年後に完全に抹消される。記録の封印に関する情報と様式文書はオレンジ郡保護観察部のサイトから利用可能である。
ただし、一定の重大犯罪(謀殺(murder)、放火(arson)、強盗(robbery)、凶器を用いた暴行(assault with a deadly weapon)、一定の銃使用(certain gun charges,)、カージャック)は一般的に封印できない。多くの州では、後日の成年となった後の逮捕や有罪判決が出たときは抹消申請は拒否される。

　なお、より各州共通で専門的な「青少年裁判記録の封印」の説明は“NOLO”グループのブログを参照されたい。

(筆者注6)シマンテックレポート「Downloader.Liftoh は W32.Phopifas の類縁か(Downloader.Liftoh Cousin to W32.Phopifas?)」は日本語で詳しく解説されている。

********************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.