調査概要
サイバーセキュリティ企業Team Cymruが2025年7月から12月にかけて実施した広範な分析により、カード詐欺市場やフォーラムをホストする28のユニークなIPアドレスと85のドメインからなる大規模な不正ネットワークが明らかになりました。
調査手法
この調査では、金融機関、法執行機関、および詐欺対策センターがカード詐欺に対抗するための重要な技術的フィンガープリンティング手法が採用されました。Team Cymruは、サイバー犯罪者がIPアドレスを完全に保護する前に早期に特定するため、インターネット全体の広範囲なスキャンを実施。これにより、新しく作成または変更されたサーバーが難読化される前に検出することが可能となりました。また、NetFlow分析により、カード詐欺に関連するIPアドレスに直接接続されている関連インフラストラクチャのマッピングも行われました。
主要な調査結果
- 28のユニークなIPアドレスが、カード詐欺市場のログインページやフォーラムのランディングページをホストしていました。
- これらのインフラストラクチャをホストする多くのASNs(自律システム番号)は、国際的な法執行機関との協力が限定的なオフショアインフラプロバイダーに属していることが判明しました。
- 最も普及しているTLD(トップレベルドメイン)は、.su、.cc、.ruであり、これらは管轄権のシールドと最小限の監視を提供します。
- インターネット全体にわたるポートスキャンを通じて、HTTPおよびHTTPSのタイトルバナーから「CVV」「Dumps」「Carding」「Shop」といったカード詐欺特有のキーワードを検索。
- X509証明書をインデックス化し、Subject Common Namesを分析することで、再利用された証明書属性に基づいて関連するインフラストラクチャをクラスター化。
- CloudflareのようなCDNがサーバーを難読化する前に、基盤となるオリジンサーバーを特定する能力が強調されています。
オフショアホスティングの傾向
ASNの分布からは、複数のカード詐欺市場がプライバシーを重視したインフラストラクチャを謳う「Privex」のサーバー上にホストされていることが明らかになりました。犯罪者は身元を明かすことなくこれらのサーバーを購入し、不正なコンテンツをホストできるとされます。注目すべきは、PrivexのAS210083がSliverのような攻撃的なセキュリティツールもホストしており、カード詐欺師に好まれるホスティングサービスが複数の種類の悪意あるキャンペーンを同時にサポートしている実態が示されています。
カード詐欺インフラストラクチャにおけるTLDの選択
28のユニークなIPアドレス全体で、85のユニークなカード詐欺関連ドメインが特定されました。.su、.cc、.ruドメインへの高い集中は、サイバー犯罪者による戦略的な選択を反映しています。
- .suドメイン: かつて存在したソビエト連邦に属し、登録および悪用に関するポリシーが緩いとされています。
- .ccドメイン: 「クレジットカード」を意味すると解釈でき、安価で大量に登録しやすいという理由で好まれています。
- .ruドメイン: ロシア国内に物理的にサーバーがある場合、西側諸国の裁判所命令からの効果的な隔絶を提供します。
今後の展望と対策
Team Cymruの研究者は、インターネットテレメトリー収集機能を活用してサイバー犯罪インフラストラクチャの調査を継続しています。Team Cymru Scoutを利用することで、顧客はカード詐欺市場とその隠されたバックエンドサーバーをプロアクティブに特定するための高度な検索クエリを実行できます。NetFlow分析は、関連するインフラストラクチャを明らかにし、詐欺対策チームが個々の不正取引をより広範な犯罪ネットワークに結びつけることを可能にします。この手法は、ネットワークインテリジェンスを積極的な妨害ツールに変え、世界中の脅威アクターの運用コストを上昇させます。