Trace Id is missing

高まるギフト カード詐欺のリスクの内情

ダウンロード
共有
ギフト カードやクレジット カードが飛び出しているノート PC

Cyber Signals 第 7 号: ライオンの巣窟へ

デジタル取引やオンライン ショッピングが日常生活に欠かせないものとなった現在、サイバー犯罪の脅威が迫っています。このような脅威の中でも、クレジット カード会社や小売業者からのギフト カードを含むギフト カード詐欺やペイメント カード詐欺が広がり、進化しています。犯罪者はますます巧妙な手口でギフト カードのポータルを侵害し、ほぼ追跡不可能な現金に変えてしまいます。

今回の Cyber Signals では、Microsoft が Storm-0539 (別名 Atlas Lion) と呼ぶサイバー犯罪脅威アクターの戦術、テクニック、手順、ギフト カード窃盗の領域での活動、その手法の複雑さ、そして個人、企業、サイバーセキュリティの状況への影響について深く掘り下げます。

Storm-0539 は、刻々と変化する犯罪の状況に適応しながら、長年にわたって関連性を保ち続けてきました。暗号化されたチャネルとアンダーグラウンド フォーラムの迷宮のようなネットワークを通じて、彼らは技術の抜け穴を悪用した不正な事業を指揮し、巧妙なソーシャル エンジニアリング キャンペーンを展開し、活動の規模を拡大しています。

多くのサイバー犯罪脅威アクターは、より早く利益を得るために、抵抗が最小限である道を選び、規模を拡大することに注力しますが、Storm-0539 はギフト カードのシステムとトランザクションを静かに、そして生産的に侵害することに集中しています。この敵対者は、小売、決済、その他の関連業界全体の変化に対応できるよう手法を適応させることで、ギフト カード発行者を執拗に標的にしています。

私たちは全員が防御者なのです。

歴史的に、Storm-0539 は大型連休の前に攻撃活動を増加させます。2024 年 3 月から 5 月にかけて、夏の休暇シーズンを前に、Microsoft は Storm-0539 からの侵入活動が 30% 増加していることを確認しました。2023 年 9 月から 12 月にかけては、秋と冬の連休と重なり、攻撃活動が 60% 増加したことが確認されました。

  • 2024 年 3 月から 5 月にかけて、Storm-0539 の侵入活動が 30% 増加
  • 2024 年 9 月から 12 月にかけて、Storm-0539 の侵入活動が 60% 増加

ギフト カードやペイメント カードの強奪を洗練させる攻撃者たち

Storm-0539 はモロッコで活動し、ギフト カード詐欺などの金融犯罪に関与しています。彼らのテクニックには、フィッシング、スミッシング、被害者の環境に自分のデバイスを登録して持続的なアクセスを得ること、サードパーティの組織を標的にしたアクセスの活用などがあります。彼らは、侵害された被害者アカウントに関連する多要素認証 (MFA) のプロンプトが攻撃者のデバイスに送られるように、デバイスを登録します。デバイスを登録することで、攻撃者は ID を完全に侵害し、クラウド環境で維持することができます。 

2021 年後半から活動しているこのサイバー犯罪グループは、ペイメント カードのアカウントとシステムを攻撃することに焦点を当てた脅威アクターの進化を表しています。攻撃者はこれまで、POS (販売時点情報管理) マルウェアを使ってペイメント カードのデータを侵害するのが一般的でした。しかし、各業界が POS 防御を強化するにつれて、Storm-0539 は、大規模小売業者、高級ブランド、有名ファスト フード店などに関連するギフト カード ポータルを標的とした犯罪において、クラウド サービスや ID サービスを侵害する攻撃手法を採用するようになりました。

歴史的に、ペイメント カードやギフト カードの詐欺は、巧妙なマルウェアやフィッシング キャンペーンと関連しています。しかし、このグループはクラウドに関する深い知識を活用し、組織のギフト カード発行プロセス、ギフト カード ポータル、ギフト カードにアクセスできる従業員に対して偵察を行います。

通常、攻撃チェーンには以下のようなアクションが含まれます:
  • Storm-0539 は従業員のディレクトリやスケジュール、連絡先リスト、メールの受信トレイを利用し、従業員の個人や職場の携帯電話を標的にスミッシング テキストを送信します。 
  • 標的となる組織の従業員アカウントに侵入すると、攻撃者はネットワーク内を横方向に移動し、ギフト カードのビジネス プロセスを特定しようと試み、この特定のポートフォリオに関連する侵害されたアカウントに軸足を移します。 
  • また、仮想マシン、VPN 接続、SharePoint や OneDrive のリソース、Salesforce、Citrix、その他のリモート環境に関する情報も収集します。 
  • アクセス権を獲得した後、このグループは侵害された従業員アカウントを使用して新しいギフト カードを作成します。 
  • そして、これらのカードに関連付けられた価値を引き換えたり、ブラック マーケットで他の脅威アクターにギフト カードを販売したり、マネー ミュールを利用してギフト カードを現金化したりします。
2 台の電話器の画像と、標的となった従業員の勤務先企業ヘルプ デスクになりすます Storm-0539 のスミッシング メッセージ。
Storm-0539 によるスミッシング メッセージ。標的となった従業員の勤務先企業ヘルプ デスクになりすましています。

Storm-0539 の偵察とクラウド環境を活用する能力は、Microsoft が確認した国家支援の脅威アクターからのものと類似しており、スパイ活動や地政学的な敵対者によって普及したテクニックが、現在、金銭的な動機に基づく犯罪者たちに影響を与えていることを示しています。

たとえば、Storm-0539 は、クラウドベースのソフトウェア、ID システム、アクセス権限に関する知識を活用し、エンドユーザーだけに焦点を当てるのではなく、ギフト カードが作成される場所を標的としています。このような活動は、Octo Tempest や Storm-0539 のような非国家支援グループの間で見られる傾向であり、彼らは高度な国家支援アクターのようにクラウド リソースについて戦術的に精通しています。

Storm-0539 は、自らをカモフラージュし、発見されないようにするため、合法的な組織であるかのようにクラウド プロバイダーに対して見せかけ、攻撃活動のための一時的なアプリケーション、ストレージ、その他の初期無料リソースを獲得します。

彼らはこの取り組みの一環として、米国内の慈善団体、動物保護施設、その他の非営利団体になりすます Web サイトを作成します。このような Web サイトは通常、タイポスクワッティングにより作成されます。これは、ある組織のドメインの一般的なスペルミスを自分のドメインとして登録し、ユーザーを騙して詐欺サイトにアクセスさせ、個人情報やプロフェッショナルな資格情報を入力させる詐欺的な手法です。

さらに詐欺の手段を拡大するために、Microsoft は Storm-0539 が非営利団体の公開 Web サイトから内国歳入庁 (IRS) が発行した 501(c)(3) レターの正規コピーをダウンロードしているのを確認しています。彼らは正規の 501(c)(3) レターのコピーと、レターが発行された非営利団体になりすましたマッチング ドメインで装備を整え、非営利団体によく提供されるスポンサー付きまたは割引価格のテクノロジ サービスを求めて、大手クラウド プロバイダーにアプローチします。

Storm-0539 の活動を説明するインフォグラフィック。
Storm-0539 の活動には、無料試用版、従量課金制サブスクリプション、侵害したクラウド リソースが使われています。また、私たちの観測によれば、Storm-0539 は正当な非営利団体になりすましてクラウド プロバイダー数社から非営利向け資金提供を受けました。

このグループはまた、通常は新規顧客に 30 日間のアクセスを提供しているクラウド サービス プラットフォーム上に無料試用や学生向けのアカウントを作成します。彼らはこれらのアカウントで仮想マシンを作成し、そこから標的型攻撃を開始します。Storm-0539 は、クラウドベースの攻撃インフラストラクチャを侵害し、作成するスキルに長けており、コストを最小限に抑え、効率を最大化しようとするサイバー犯罪経済において、ホストやサーバーに支払うような一般的な初期費用を回避することができます。

Microsoft の評価では、Storm-0539 は標的企業の連携 ID サービス プロバイダーに対して広範な偵察を行い、敵対的中間者 (AiTM) ページの外観だけでなく、正規のサービスと密接に一致する登録ドメインの使用など、説得力のある形でユーザーのサインイン エクスペリエンスを模倣します。また、Storm-0539 が、最近登録された正規の WordPress ドメインを侵害し、AiTM ランディング ページを作成した例もあります。

推奨事項

  • トークン保護と最小特権アクセス: トークンを正規ユーザーのデバイスにバインドすることで、トークンのリプレイ攻撃から保護するポリシーを使用します。最小特権アクセスの原則をテクノロジ スタック全体に適用し、攻撃の潜在的影響を最小化します。
  • 安全なギフト カード プラットフォームを採用し、不正防止ソリューションを導入する: 支払いを認証するように設計されたシステムへの切り替えを検討します。また、加盟店は不正防止機能を統合することで、損失を最小限に抑えることができます。
  • フィッシングに強い MFA: FIDO2 セキュリティ キーなど、さまざまな攻撃に耐性を持つフィッシングに強い資格情報に移行します。
  • ユーザーのリスク レベルが高い場合には、安全なパスワードへの変更を要求する: ユーザーがパスワードを書き戻して新しいパスワードを作成する前に、Microsoft Entra MFA を要求し、リスクを修正します。
  • 従業員を教育する: 加盟店は、従業員にギフト カード詐欺の可能性を認識させ、疑わしい注文を断るよう教育する必要があります。

嵐を乗り切る: Storm-0539 に対する防御

ギフト カードは、クレジット カードやデビット カードと異なり、顧客名や銀行口座がないため、詐欺の格好の標的です。Microsoft は、この業界に焦点を当てた Storm-0539 による活動が、季節的な休暇期間に活発化すると見ています。米国のメモリアル デー、レイバー デー、サンクスギビング (感謝祭)、そしてブラック フライデーや世界中の冬の祝日には、このグループ関連する活動が増加する傾向にあります。

通常、組織は個々のギフト カードに発行できる現金価値の上限を設定します。たとえば、その限度額が USD$100,000 である場合、脅威アクターは USD$99,000 のカードを発行し、ギフト カードのコードを自分自身に送信して収益化します。彼らの主な動機は、ギフト カードを盗み、それを割引価格でオンライン販売することで利益を得ることです。Microsoft は、脅威アクターが特定の企業で 1 日に最高 USD$100,000 を盗んだ例をいくつか見てきました。

このような攻撃から防御し、このグループがギフト カード部門に不正アクセスするのを防ぐために、ギフト カードを発行する企業はギフト カード ポータルを価値の高い標的として扱う必要があります。ポータル サイトは厳重に監視され、異常な活動がないか継続的に監査する必要があります。

ギフト カードを作成または発行する組織は、たとえアカウントが侵害されたとしても、ギフト カード ポータルやその他の価値の高い標的に簡単にアクセスできないようにするためのチェックとバランスを導入することが有効です。ログを継続的に監視して、不審なログインや、クラウド ID 侵害に依拠するその他の一般的な初期アクセス ベクトルを特定し、サインオンを制限してリスクのあるサインインにフラグを付ける条件付きアクセス ポリシーを実装します。

組織は、IP アドレスの位置情報やデバイスの状態など、ID ドリブンの追加的なシグナルを使用して認証要求を評価する条件付きアクセス ポリシーを使用して MFA を補完することも検討する必要があります。

このような攻撃を抑制するもう 1 つの戦術は、ドメイン購入時の顧客認証プロセスです。規制やベンダーのポリシーは、世界中で悪意のあるタイポスクワッティングを一貫して防止できない可能性があります。つまり、このような詐欺的な Web サイトは、サイバー攻撃の規模を拡大するために依然として人気である可能性があるということです。ドメインを作成する際の認証プロセスは、被害者を欺くことのみを目的として作成されるサイトの増加を抑制するのに役立つ可能性があります。

Microsoft は、誤解を招くドメイン名だけでなく、Storm-0539 が企業内に足場を築き、彼らがその配布リストやその他のビジネス規範を把握すると、合法的な企業内メーリング リストを使用してフィッシング メッセージを広めていることも確認しています。

有効なメーリング リストを利用したフィッシングは、悪意のあるコンテンツに信憑性を持たせるだけでなく、Storm-0539 が持続的な攻撃力を得るために利用している資格情報、関係性、情報へのアクセス権を持つ、より多くの個人を標的にしたコンテンツに磨きをかけることができます。

ユーザーがフィッシング メールやテキストに含まれるリンクをクリックすると、AiTM フィッシング ページにリダイレクトされ、資格情報の盗難や二次認証トークンの取得が行われます。小売業者には、スタッフにフィッシング詐欺のしくみ、見分け方、報告の方法を教えることをおすすめします。

強調したいのは、Storm-0539 は、データを暗号化して盗み出し、支払いを迫る騒々しいランサムウェアの脅威アクターとは異なり、クラウド環境で静かに偵察活動を行い、クラウドと ID インフラストラクチャを悪用して最終目標を達成しているということです。

Storm-0539 の作戦は、攻撃者が正規の侵害されたメールを使用し、標的となる企業が使用する正規のプラットフォームを模倣しているため、説得力があります。企業によっては、ギフト カードの損失は回復可能です。そのためには、脅威アクターがどのギフト カードを発行したかを特定するための徹底的な調査が必要です。

Microsoft 脅威インテリジェンスは、Storm-0539 の影響を受けた組織に対して通知を発行しました。このような情報共有と協力体制のおかげもあり、ここ数か月で大手小売企業での Storm-0539 の活動を効果的に阻止する能力が高まっていることが確認されています。

Storm-0539 による侵入行動のライフサイクルを示すインフォグラフィック。"フィッシング/スミッシング" から始まり、続いて "クラウド リソースへのアクセス"、"インパクト (データ流出とギフト カード窃取)"、"将来の攻撃に向けた情報入手" が行われます。"ID" は常にグラフィックの中央に位置付けられています。
Storm-0539 による侵入行動のライフサイクル。

推奨事項

  • フィッシングや AiTM 活動に関連したユーザーのパスワードをリセットする: アクティブなセッションを取り消すため、パスワードをただちにリセットします。侵害されたアカウントで攻撃者が行った MFA 設定の変更をすべて取り消します。MFA の更新には MFA の再チャレンジを既定で要求します。また、従業員が企業ネットワークにアクセスするために使用するモバイル デバイスも同様に保護します。
  • Microsoft Defender for Office 365 でゼロアワー自動消去 (ZAP) を有効にする: ZAP は、既知の悪質なメッセージと同一の要素に基づいて、フィッシング キャンペーンの一部であるメールを検出し、自動的なアクションを実行します。
  • ID、アクセス特権、配布リストを更新し、攻撃面を最小化する: Storm-0539 のような攻撃者は、過度なアクセス特権を持つユーザーを見つけ、そのユーザーを侵害することで大きな影響を与えようとしています。従業員やチームの役割は頻繁に変わる可能性があります。特権、配布リストのメンバー、その他の属性について定期的なレビューを確立することで、最初の侵入の影響を制限し、侵入者の作業をより困難にすることができます。

方法論: スナップショットおよびカバー統計データは、脅威アクターである Storm-0539 に関するお客様からの通知および観測の増加を表しています。これらの数値は、このグループの監視に費やされたスタッフとリソースの増加を反映しています。Azure Active Directory は、脅威アクティビティに関する匿名化データ (悪意あるメール アカウント、フィッシング メール、ネットワーク内での攻撃者の行動など) を提供しました。さらに、クラウド、エンドポイント、インテリジェント エッジ、Microsoft Defender を含む Microsoft のプラットフォームやサービスからのテレメトリなど、Microsoft が毎日処理する 78 兆件のセキュリティ シグナルから、さらなる分析情報を得ることができました。

Cyber Signals フィッシング 脅威アクター

関連記事

Storm-0539 ギフト カード詐欺を追跡するエキスパートの話を聞く

国際関係、連邦法執行機関、セキュリティ、政府機関など幅広い経歴を持つ Microsoft 脅威インテリジェンスのアナリスト Alison Ali、Waymon Ho、Emiel Haeghebaert は、ペイメント カードの窃盗やギフト カード詐欺を専門とする脅威アクターである Storm-0539 を追跡するためのさまざまなユニークなスキルを提供しています。
詳細情報

信頼の経済の罠: ソーシャル エンジニアリング詐欺

デジタル情勢の変化に伴い、信頼が通貨にも脆弱性にもなっている状況について解説します。サイバー攻撃者がよく使うソーシャル エンジニアリング詐欺の手口を知り、人間の性質を巧みに利用したソーシャル エンジニアリングの脅威を特定して攻略する方法をご確認ください。
詳細情報

手口の変化によって急増するビジネス メールの漏洩や侵害

サイバー犯罪者が攻撃元を隠蔽でき、いっそう悪質な攻撃を仕掛けられる環境が整った現在、ビジネス メール詐欺 (BEC) は増加傾向にあります。CaaS の概要と、皆様の組織を守る方法についてご説明します。
詳細情報

Microsoft Security をフォロー