カナダを襲うサイバー犯罪:デジタルサービス悪用した広範な攻撃
2026年1月28日、カナダ市民は、政府機関や有名ブランドを騙る大規模なフィッシングキャンペーンに直面していることが明らかになりました。この攻撃では、個人の金融データや機密情報が組織的に詐取されています。このキャンペーンは、SMSを介して交通違反詐欺を標的とする「PayTool」として知られるPhishing-as-a-Serviceのエコシステムと深く関連しています。単なる交通違反金詐欺に留まらず、脅威アクターはカナダ歳入庁(CRA)、エアカナダ、カナダ郵便といった主要サービスを詐称しており、共通のデザインテンプレートとインフラを再利用した広範かつ組織的な攻撃が展開されていることを示唆しています。
巧妙なフィッシング手口と心理的トリック
被害者には、未払いの罰金、配達失敗、予約エラーといった高圧的な文言を用いたSMSメッセージや悪意のある広告が送付されます。これらのメッセージ内のURLは、短縮URLやtyposquatted domains (タイプミスドメイン) を悪用し、正規のウェブサイトであるかのように偽装されています。ユーザーがクリックすると、「fake validation (偽の検証)」フェーズに誘導され、チケット番号や予約参照番号の入力を求められます。しかし、実際にはどの入力値も受け付け、実際の検証は一切行われません。
CloudSEKのセキュリティ研究者らは、交通取り締まり、税金還付、航空券予約、宅配サービスといった、カナダ市民が日常的に機密情報をオンラインでやり取りするあらゆる分野を悪用する複数の詐欺クラスターを特定しました。この「信頼構築」の段階を経て、詐欺的な決済ゲートウェイへと誘導され、個人識別情報(PII)、銀行口座情報、決済データが収穫されます。この手口の巧妙さは、技術的な複雑さよりも、被害者が公式サービスとやり取りしていると信じ込ませる心理的な操作にあります。
攻撃インフラの徹底分析
調査によると、70を超えるウェブサイトがIPアドレス 198.23.156.130 に解決されており、これらのサイトはcanada.caを「Traffic Ticket Search Portal – Government of Canada」として詐称していました。このように連邦政府レベルの偽装を用いることで、被害者の疑念を減らしつつ、各州で迅速な拡大を可能にしています。ドメインのパターンからは、ticket, traffic, portal, search, violation, infraction といった組織的な命名規則が見られ、これは手動ではなく大量自動生成によるものであることを示唆しています。
観測されたドメインの例:
- ブリティッシュコロンビア州: paytool-bc-2025[.]com, bc-infraction[.]com
- オンタリオ州: ontarioticketpay[.]live, ontario-paytool-2025[.]com
- ケベック州: ville-montreal-pay[.]com, amende-enligne-qc[.]com
また、45.156.87.0/24 サブネットは決済フィッシングのインフラをホストしており、主要なノードは 45.156.87.145, 45.156.87.131, 45.156.87.143 にあります。特定の州のドメインがブラックリストに登録されると、脅威アクターはキャンペーンの継続性を維持するために、parking-portal[.]live や overdueticketinfraction[.]info のような一般的なフォールバックドメインにトラフィックを切り替えます。エアカナダの詐称では、文字の省略 (例: aircanda-booking[.]com)、重複、置換によるtyposquatting (タイプミスサイト) やSEOポイズニングが悪用されています。これらの偽サイトは、正規のエアカナダのインフラからファビコンのハッシュやページタイトルを複製し、ドメインを誤入力したユーザーや悪意のある広告をクリックしたユーザーを傍受します。
組織と個人が講じるべき対策
脅威アクター「theghostorder01」は、ダークウェブフォーラムでフィッシングキットを活発に販売しており、氏名、住所、銀行口座情報、Interac e-Transferのログイン情報を収集する機能を宣伝しています。これは、販売者側の技術的な洗練度が低いことを示唆しており、購入者は生成AIツールを活用してバックエンドロジックやAPIを介したリアルタイムのデータ抜き取りをスクリプト化しており、最小限の技術スキルで攻撃が可能になっています。
組織は、キーワードベースのtyposquatting (タイプミスサイト) に対して、プロアクティブなドメイン監視を強化し、迅速なテイクダウンを開始する必要があります。DNSおよびウェブゲートウェイは、疑わしいTLD(.live, .info)や既知のPayToolのIP範囲をブロックすべきです。また、一般向けの啓発キャンペーンでは、政府機関や航空会社がSMSリンクを通じて機密データを要求することはないという点を強調する必要があります。ユーザーは、メッセージや広告内のリンクではなく、公式にブックマークされたポータルを通じてのみサービスにアクセスするべきです。