1日10万件ものメールアドレスからチマチマ情報を盗み出して堅実に稼ぐ巧妙なハッカーの手口とは？

大規模なハッキングというと、巨額の被害が出る派手なものを連想する人も多いはず。実際に、近年ではランサムウェア攻撃により数十億円単位の大きな被害が出ることも珍しくなくなってきています。こうした派手なハッキングとは異なり、気づかれにくいような小さな窃盗を繰り返して、法執行機関の目を逃れつつ活動するサイバー犯罪グループについて、著名なセキュリティジャーナリストであるブライアン・クレブス氏が報じました。

Gift Card Gang Extracts Cash From 100k Inboxes Daily – Krebs on Security
https://krebsonsecurity.com/2021/09/gift-card-gang-extracts-cash-from-100k-inboxes-daily/

クレブス氏は、長期にわたって多くの人から少額ずつ盗むハッキングの手法について調査するため、サイバー犯罪者らが使用するネットワークを長年監視しているセキュリティ研究者のビル氏(仮名)に取材を行いました。

ビル氏によると、この手のサイバー犯罪はハッカーらが利用するフォーラムなどからパスワードを仕入れて、1日平均500万から1000万もの電子メールアドレスにログインを試み、そのうち5万から10万の受信トレイに侵入しているとのこと。メールアドレスを用いたハッキングには、スパムメールを送りつけたり特定の被害者を狙ったフィッシング詐欺を仕掛けたりするものがありますが、ビル氏が監視しているハッカーらはそうした手口は使っていません。

その代わり、ハッカーらは自作のスクリプトを使って被害者らのメールの受信箱を定期的に検索し、転売できるようなデータを盗み出しているとのこと。具体的には、ギフトカードに関するデータや、ホテルや航空会社のポイントカードのデータなどがよく標的にされていました。こうした民間企業の特典サービスやポイントのデータは、オンラインで元の価値の80％の値段で売り飛ばすことができるため、標的にされやすいそうです。

ハッカーらが狙うポイント制度として典型的なのが、健康保険会社が展開している「健康プログラム」です。一部の健康保険会社は従業員に健康的な運動を奨励するため、例えば「腕立て伏せを1日30回やると、スターバックスのギフトカードに交換できるポイントを付与する」といった制度を設けています。これを悪用し、被害者の代わりにギフトカードを申請することで、ハッカーらは利益を出しているとのこと。またAmazonギフトカードなど、より直接的なサービスがターゲットになることもあります。

by Kanesue

ビル氏は、「連中の狙いはソフトなデータではなくハードなデジタル資産、つまり被害者の受信箱に眠っているお金です。人々の受信箱からデジタル資産を盗み出し、売り飛ばすことができる市場が、インターネット上には存在します」と述べました。

ビル氏によると、ハッカーらが攻撃していたメールアドレスの約半数は、MozillaのThunderbirdやMicrosoftのOutlookといった電子メールソフトで使われているIMAPというプロトコルを使用したものだとのこと。

Microsoftはクレブス氏の取材に対し、個別の研究結果についての具体的なコメントは控えるとしつつ、「ユーザーは多要素認証を有効にすることで、アカウントへの侵害の99.9％以上を防ぐことができます」と回答しました。