フィッシングドメイン再発防止のための新アプローチ:「善良なスクワッティング戦略(フィッシングテイクオーバー)」の導入
東京、2024年9月6日 - 株式会社ImprovedMove(以下「当社」)は、2024年6月20日、フィッシング行為の再発防止を目的とした新たなアプローチ「善良なスクワッティング戦略(フィッシングテイクオーバー)」を発案、提唱し、実行いたしました。この取り組みは、フィッシング業者が再度ドメインを取得することを防ぎ、社会の安全を守るためのものです。
及びこれら理論的背景を前提とし、当社は2024年8月28日より、善良なスクワッティングサービスの提供を開始しました。これは、1フィッシングドメインの再発防止、2フィッシング詐欺行為の実行環境の困難化、の2つの側面からのフィッシング詐欺の再発防止実現に焦点を当てたサービスです。
背景
弊社が対応した、資本金数十億円規模の国内金融機関をターゲットとしたフィッシングサイト詐欺のテイクダウン事案、において主たる脅威の1つであった、フィッシングサイト(www.gemini-a8.com)は、当社の迅速な対応によりテイクダウン(無効化)されましたが、当該ドメインの再販が開始された場合、フィッシング業者が再度このドメインを取得する可能性が残っていました。
フィッシングサイトをテイクダウンしても、フィッシングサイトへのリンクは多数残ったままであり、フィッシング業者がドメインを再取得しサイトを再開した場合、潜在的な被害者が再度詐欺行為の被害にあう可能性がかなりの程度ありました。
新たなアプローチ
このリスクを未然に防ぐため、当社は「善良なスクワッティング戦略(フィッシングテイクオーバー)」を導入、実行しました。これは、当社がフィッシングドメイン(www.gemini-a8.com)の所有権を取得し、フィッシング業者による再取得を防ぐというものです。正確には当該ドメインが市場で売りに出された直後にこれを取得し、確保しました。このアプローチは証拠の保全と提供、新たな偽装工作の防止にも寄与します。
なぜフィッシングドメインを取得する必要があるのか
無数のリンク、1つの目的地、マスターキーとしてのフィッシングドメイン
フィッシングリンクは大量にあるのが普通であり、数万かそれ以上のリンクがあることもあります。しかし無数にある一方、その中で「共通点」が実はあり、それが「ドメイン名」です[1]。
つまり、無数にあるリンクが、エッジの矢印の向きとして、最終的に1つのドメイン名(フィッシングドメイン)を指している、というのが、フィッシングリンクグラフの重要な特徴です。なぜ矢印がドメインを向いているかと言うと、潜在的被害者を操るためであり、詐取を目的としていることの帰結です。
これは視点を逆転させてみると、「フィッシングドメインを制するものがリンクグラフ全体を制する」、と言い換えられることがわかります。これが、リンクグラフの反転制圧のために、フィッシングドメインを取得する必要がある理由です。その上で中心ノード(フィッシングドメイン)で、フィッシング業者の詐取の意図と「矛盾すること」を行うことが、矢印を反転させ、再帰的にリンクグラフ全体を無効化することにつながる仕組みです。即ち警告ページ掲載とトラッキングです。
[1] リダイレクトを経由させたとしても、目的地は1つなので、実質同じとしてカウントできます。例えば複数のリダイレクトを経由しても、目的地はフィッシングドメインを指しているので、経路(Path)として一括りにみれば、同じ目的地を指している(圧縮)、とカウントできます。
ドメインを取得したうえで警告ページをホスティングすることで次の目的の達成をはかりました。
効果と目的
-
フィッシング業者による再取得を防止: 当社がドメインを所有することで、再取得のリスクを排除。
-
リンクグラフ(Link Graph)全体の無効化: フィッシング業者が構築したリンクグラフを無効化し、被害の拡大を防止。
-
リアルタイムトラッキング: 警告ページにおけるトラッキングにより、攻撃者のネットワークを明らかにし、さらなる対策を講じる。
-
潜在的被害者に対する注意喚起と、誘導元業者との関係の断絶の促進: 警告ページを通じて被害者に警告を発し、フィッシング業者との関係を断たせる。
-
アクセスしたフィッシング業者の情報収集と蓄積: トラッキングにより、フィッシング業者の情報を収集し、対策を講じる。
-
ドメインの履歴と証拠の保全: ドメインの履歴を保持し、法執行機関に提供する証拠として利用可能な状態を保持。
-
法執行機関への情報提供の対応可能性の確保: 収集したデータを法執行機関に提供し、共同で対策を講じることが可能な状態を整備。
-
新たな偽装工作の防止: ドメインを取得することで、フィッシング業者が再度偽装工作を行うことを防止。
リンクグラフとはなにか
フィッシング業者の経済的価値の源泉としてのリンクグラフ
リンクグラフは、フィッシングサイトへのリンクの集合体であり、フィッシング業者の攻撃の効果を高めるために重要な役割を果たしています。1辺(エッジ=リンク)が利益を生む1単位(1被害者からの利益)として考えられ、フィッシング詐欺ビジネスにおける商圏を製造する「本体」と捉えられます(フィッシングサイトはノード)。フィッシング詐欺の1単位あたりの損失は、多いもので数千万円から数億円に上ります。フィッシングサイト(www.gemini-a8.com)は多数のSNS詐欺や投資詐欺、仮想通貨詐欺への関与が報じられており、弊社クライアントである資本金数十億円規模の金融機関へのフィッシング詐欺に直接関与していました(成功事例詳細はこちらからご覧頂けます)。
フィッシングサイト(ノード)よりもむしろリンクグラフの方にフィッシング業者にとっての価値の源泉がある、と言えます。
リンクグラフの性質を逆手に取る(テイクダウンからのテイクオーバー:敵インフラ接収によるリスクの「反転」)
テイクダウン後に当該フィッシングドメインを購入し、警告ページを掲載しつつそこでトラッキングを行うことで、既存リンクの存在意義を無効化する(フィッシング業者の利害に反する活動であり、この場合法執行の延長としての警告ページ掲載を行い、リンクの意味を「反転」させる)ことで、リンクグラフ全体を無効化することに繋がります。つまりテイクダウン後の対策として、フィッシングドメインを取得し警告ページ掲載とトラッキングを行うことが、フィッシング業者が構築したインフラを逆手に取り、エッジの矢印を「反転」させ、それをこちらのものとして使うことを可能にします(テイクダウンからのテイクオーバー)。
この試みをわかりやすい例えで言うと以下のようになります。
例えば、詐欺師が偽の会社名を使って街で詐欺を働いていたとします。その詐欺師が使っていた看板を取り外して、再び同じ場所で詐欺を行わないように、その看板を合法的に買い取ります。そして、そこに『ここで詐欺が行われていました』という警告を掲示して、通行人に注意を促します。さらに、私たちはその場所で待ち伏せし、詐欺師が戻ってくるのを見張ります。詐欺師が戻ってきたら、彼らの動きを尾行し、最終的に彼らの本拠地を突き止めます。その間に警察に通報し、詐欺師を現行犯で逮捕できるように準備します。到着と同時に警察がお出迎えするので、以後本拠地自体が使えなくなります。
テイクダウンは看板を外すこと、看板の合法的買い取りはドメイン取得、警告表示は警告ページ掲載による注意喚起、トラッキングは待ち伏せと監視及び尾行、証拠保全が法執行機関との連携、リンクグラフが本拠地、にそれぞれ相当します(わかりやすくするための非常に大まかな例えであり、完全な対応ではありません)。
フィッシングドメインを購入し警告ページ掲載とトラッキングを行う、というアプローチにより、フィッシング業者が詐欺リンクを貼ることで作り上げたリンクグラフ(本拠地)全体を「反転」させて掌握することができる、というわけです。言い換えると、中心ノード(フィッシングドメイン)の制圧と色反転が、再帰的に伝播し(BFS/DFS)、グラフ全体の色を反転させる(悪から善)ということです(オセロの色反転)。まさに、テイクダウンからのテイクオーバーです。フィッシング業者は自分たちが作り上げたリンクグラフによって、追い詰められる事態になるのです。
リンクの無効化は警告ページの存在により「自発的に」発生し、一切の介入なく自発的にリンクグラフ全体が自然崩壊する、という点が特筆すべき点です。これは、ノードの意味が「反転」することによる必然的結果です。リンクグラフの崩壊は、一種のBFSやDFSのように進行すると思われます。
考えられる反論
善良なスクワッティングはリンクグラフ全体を崩壊させることができるとして、「もしフィッシング業者がドメイン取得と放棄のサイクルを短くして詐欺を行うスタイルにシフトした場合、対応できないのではないですか?」という反論が考えられます。これに対しては以下のように回答できます。
サイクルの長短とリンクグラフのサイズ(リンク数)は比例します。サイクルを短くすると、リンクグラフのサイズも小さくなります。これは構築に時間とコストがかかるためです。リンクグラフのサイズが小さいと、影響力と経済的効果も低下します。ですので、業者はトレードオフを迫られます。効果を上げたければグラフのサイズを大きくする必要があるが、その場合、善良なスクワッティングによるダメージも増加します。それを避けるにはグラフサイズを小さくしてサイクルを短くする必要がありますが、その場合経済的効果が下がります。つまり構造的にアプローチの再検討を迫られることになり、依然として効果があります。
言い換えると、それまで再取得によりテイクダウン後も収益化の可能性があったものが、ドメイン取得から放棄(テイクダウン)までの時間枠に、収益化の機会が限定される、つまり、「時間枠の縮小」という形で、経済効果が減少する、といえます。
善良なスクワッティングサービスの提供開始
これらの分析を踏まえて、株式会社ImprovedMoveは2024年8月28日より、善良なスクワッティングサービスの提供を開始しました。このサービスはフィッシングドメインの2つの意味での再発防止を目的としたものであり、具体的には、1フィッシングドメインの再発防止、2フィッシングリンクグラフ制圧による、フィッシング詐欺行為の継続を困難にする環境の整備、を目的とします。
結論
2024年6月20日より、株式会社ImprovedMoveはフィッシングドメイン(www.gemini-a8.com)を取得し所有者になりました。これは前述の通り、当該ドメインを利用した詐欺の拡大の防止と、その背後にあるフィッシングインフラ(リンクグラフ)の無効化の達成、を目的とします。
及びこれら理論的背景を前提とし、株式会社ImprovedMoveは2024年8月28日より、善良なスクワッティングサービスの提供を開始しました。これは、1フィッシングドメインの再発防止、2フィッシング詐欺行為の実行環境の困難化、の2つの側面からのフィッシング詐欺の再発防止に焦点を当てたサービスです。
当社の取り組みは、法的および倫理的に正当なものであり、フィッシング行為の再発防止において重要な役割を果たします。今後も引き続き、社会の安全を守るために最善の努力を尽くしてまいります。
免責事項
当然ですが、弊社がフィッシングドメイン(www.gemini-a8.com)を取得したのは2024年6月20日であり、弊社はこれ以前はこのドメインとは一切関わりがありませんので、その点は十分にご了承下さい。
また購入プロセスの正当性についても、フィッシングドメインが市場で売りに出された後に、正規のドメイン業者にて通常の購入プロセスを通して取得したものですので、この点もコンプライアンスは充足されていますのでご安心下さい。
お問い合わせ先
当社お問い合わせページより、「お問い合わせ件名:プレスリリース・メディア掲載のお問い合わせ」をご選択頂き、お問い合わせください。
すべての画像