2024年パリオリンピックが盛り上がる中、パリオリンピックのチケット販売を装ったフィッシング攻撃が急速に広がっています。最近、708個の偽装ドメインで、ロシア国籍のユーザーを主な対象とした2024年パリオリンピック関連の大規模なチケット販売詐欺とフィッシング攻撃が報告されました。今回の記事では、フィッシング攻撃を目的として偽造されたサイトを確認する方法とフィッシングの予防法についてご説明します。
原価の3倍から10倍まで取引されるパリオリンピックのチケット詐欺の手口
攻撃のうち、パリオリンピックのチケット販売サイトに見せかけた偽装ドメインは、オリンピックに関連する特定のキーワードを検索することで検出され、2つのドメイン(ticket-paris24[.]com及びtickets-paris24[.]com)で、本物のチケット販売サイトと同様のUIを備えたウェブサイトが発見されました。この巧妙に作られたフィッシングサイトは、わずかな文法やスペルミスを除けば、全体的に非常に信頼性の高いウェブサイトのように見え、フィッシングかどうかを肉眼で見分けることは困難でした。
![パリオリンピックのチケットフィッシング サイトtickets-paris24[.]comのアクセス画面](https://i0.wp.com/criminalipdotcodotjp.wpcomstaging.com/wp-content/uploads/2024/08/%E3%83%91%E3%83%AA%E3%82%AA%E3%83%AA%E3%83%B3%E3%83%94%E3%83%83%E3%82%AF%E3%81%AE%E3%83%81%E3%82%B1%E3%83%83%E3%83%88%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B01-1024x539.png?resize=1024%2C539&ssl=1)
このウェブサイトでは、公式ウェブサイトで100ユーロ以下で販売されているオリンピックのチケットを最低300ユーロから1000ユーロまで販売していました。決済の過程でStripeのような正常な決済処理プラットフォームを使用し、被害者のカードに十分な資金がある場合のみ取引を許可したという点からみて、彼らは被害者の金融情報を奪おうとするのではなく、単にチケット代で発生する金銭的な利得を得ようとしていると思われます。
特定の機関や企業を装ったフィッシングサイトは、目的によって様々な被害が発生します。今回のケースの場合、単純に金銭的な利得だけを得ようとしたが、もし接続と同時に悪性コードが配布されたり、ランサムウェアに感染すれば、より大きな被害が発生する可能性もありました。
リアルタイムのURLスキャナーでパリオリンピックのチケットサイトへのフィッシング攻撃の有無を検出する方法
このように、肉眼で検出するのが難しい、またはアクセスするだけで被害を受ける可能性があるなど、疑わしいフィッシングサイトがある場合、リアルタイムのURLスキャンで安全にフィッシングかどうかを判断することができます。疑わしいサイトにアクセスする前に、そのドメインのURLをAI基盤のフィッシング検出ツールで調べてみることです。
![また別の パリオリンピックのチケットフィッシング サイトtickets-paris24[.]comのアクセス画面](https://i0.wp.com/criminalipdotcodotjp.wpcomstaging.com/wp-content/uploads/2024/08/%E3%83%91%E3%83%AA%E3%82%AA%E3%83%AA%E3%83%B3%E3%83%94%E3%83%83%E3%82%AF%E3%81%AE%E3%83%81%E3%82%B1%E3%83%83%E3%83%88%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B02-1024x513.png?resize=1024%2C513&ssl=1)
今回の攻撃に使用された主なドメインはticket-paris24[.]comとtickets-paris24[.]comの2つで、2024年パリオリンピック関連のチケット販売サイトに成りすましています。その他にも、2024年UEFA欧州選手権、有名なコンサートやフェスティバルなど様々なイベント関連のドメインも悪用されています。
このサイトをAI基盤のフィッシング検出ツールであるCriminal IPのドメイン検索でリアルタイムにスキャンした結果は以下の通りです。
リアルタイムのドメインスキャンの結果、99%のCritical危険レベルに分類されました。フィッシングの可能性は79.36%であり、サイトの評判は不明です。本物のパリオリンピックのチケット購入サイトであれば、世界的にかなりのトラフィックが流入するはずですが、サイトの評判が不明確であることは十分に疑わしい要素です。
偽ファビコンも使用されているようですが、公式サイトが偽ファビコンを使用する可能性は極めて低いため、このウェブサイトは高い確率でフィッシングサイトであると判断できます。
パリオリンピックのフィッシング攻撃に使用されたIPアドレスをIT資産検索で分析する
また、複数のチケット詐欺ドメインが同じIPアドレスである179[.]43[.]166[.]54を指していました。つまり、攻撃者が複数のドメインを1つのIPアドレスに接続することで、一度発見されてブロックされても、別のドメインで活動し続けられる仕組みを取っていると思われます。このようなネットワーク構成は、検知とブロックを困難にするという重要な特徴があります。
当IPアドレスをCriminal IPのIT資産検索で検索した結果は以下の通りです。
このIPアドレスで運営されているサービスとして443ポートを利用したHTTPSサーバーと80ポートを利用するHTTPサーバーが確認されました。443ポートのHTTPSサーバーの場合、信頼性が高いという点を利用して、より多くの被害者が騙されるように誘導したものと思われます。このHTTPSサーバーでは、自己署名(self-signed)された基本証明書が使用されていることが分かりました。国際的なイベントであるオリンピックのような場合、公式ウェブサイトのセキュリティを徹底するために、主に検証された証明書発行機関の証明書を使用します。しかし、このように自己署名された基本証明書を使用したことは、当サイトがオリンピックの公式ウェブサイトではないことを意味します。
「IPアドレスのカテゴリー」では、パリオリンピックの偽チケットを販売する詐欺サイトに使用されたと把握されるIPアドレスが「c2(Command and Controlサーバー)」と関連性があることが検出されました。C2サーバーとの関連性を把握することはフィッシング攻撃の分析に核ですが、関連性がある場合、チケット販売偽装がウェブサイト内のフィッシング攻撃にとどまらず、そのIPアドレスがハッカーによって直接制御サーバーとして使用される可能性があるためです。つまり、C2サーバーとの関連性がある場合、これはハッカーが悪性コードに感染したシステムを遠隔操作し、追加の悪性行為を指示することができる基盤となります。
また、このIPアドレスに接続されたドメインを調べると、多数のticketsparis24[.]com、avangard-tickets[.]ru、concertgiopika[.]comなどのチケット関連ウェブサイトが含まれており、様々な国や地域を対象とした様々なドメイン名が確認されます。これは、このIPアドレスが広範なオンラインチケット詐欺に関与している可能性があることを示します。
まとめると、このIPアドレスは危険な活動に直接的に関連しており、特にフィッシング、スパムの配信、マルウェアの拡散などのサイバー犯罪に使用される可能性が高いことがわかりました。
パリオリンピックのチケット販売に見せかけた詐欺サイトのフィッシング攻撃を防ぐ方法
オリンピック期間を利用して、見分けにくいフィッシング攻撃の拡散が行われるため、チケット購入者は詐欺販売サイトのチェック方法を覚え、特に注意しなければならないです。フィッシング被害を予防するために、Criminal IPのようなリアルタイムのURL検索ツールを使用するのも一つの方法になります。また、Chrome拡張機能をブラウザにインストールして、フィッシングサイトへのアクセスを自動的にブロックすることもできます。
関連してセルシウス・コインのフィッシング攻撃に関する記事ご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
