みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

ラグビーワールドカップに関連したサイバー犯罪について

ラグビーワールドカップ、盛り上がってますね!

こういったイベントが行われる際には、それに伴いサイバー犯罪も活発になる傾向があります。

平昌五輪の際は、OlympicDestroyerが話題になり、大会そのものに影響を及ぼしましたが、そうでなくても、フィッシング詐欺や関連サイトへのDDoS攻撃などが観測されることが多々あります。

そして今回、日本開催のラグビーワールドカップですが、Fortinetからフィッシングに関する、サイバー犯罪の情報が公開されました。

www.fortinet.com

ブログにもある通り、Fortinetの調査機関、FortiGuard Labsの観測では、多数の不審サイトが確認されているとのことです。

たとえば、 alllivesport[.]com という広告サイトは、以下のような、リンクへつながっています。

  • hxxps://rugbyworldcup[.]xyz/#Rugby_World_Cup_2019_Teams
  • hxxps://2019rugbyworldcup[.]online/
  • hxxp://rugbychampionship2019[.]info/live/

どれも胡散臭いですね(笑)

そしてこれらのサイトにはアフィリエイトのバナーが表示されるようで、このバナーをクリックすると、次のサイトにリダイレクトされます。

  • リダイレクト用のアフィリエイトURL

    • hxxp://www.affforce[.]com/scripts/un981c6l?a_aid=d022be2e&a_bid=70104349
  • リダイレクト先の詐欺サイトURL

    • hxxps://alllivesport[.]com/sp2/?bg=rwc2019.jpg&a=2&clickid=5d850ce60a5df4000155f4b3&pubid=8922&q=WATCH%202019%20RUGBY%20WORLD%20CUP%20LIVE

https://www.fortinet.com/blog/threat-research/free-rugby-world-cup-streaming-foul-play/_jcr_content/root/responsivegrid/image_2037744573.img.png

そして、詐欺サイトで情報を入れてContinueをクリックすると、メールアドレスとパスワードが取得されてしまいます。

以下のURLに含まれるinfoのパラメータにはBase64エンコードされた文字列が代入されています。

  • hxxps://fastplayz[.]com/registration?theme=allsports-direct&v_id=463adf18-fa93-4d81-fc8e-db1ab8337ec4&info=eyJ1c2VybmFtZSI6InRlc3RAaG90bWFpbC5jb20iLCJwYXNzd29yZCI6IklhbUFQYXNzd29yZCJ9%3D&a_aid=864kjuyuio54&page=allsports-direct&clickid=5d850ce60a5df4000155f4b3&pubid=8922

そして、最終的に、クレジットカード情報を入力するページへと誘導されます。

  • hxxps://fastplayz[.]com/subscriptions/checkoutaff/allsports-direct

これ以外の手法も紹介されており、サンプルとして、以下の詐欺サイトも紹介されています。

  • hxxps://live-sport-streams[.]com/9375-5-d5cecf7a/signup-dual/rugby/#/z=47401/dp=3479603723.537103.287de6b56d.31672.5a7af23a64dbdb158e830c9b8a56e98f/c_bg=%2F%2Fimg.codes%2FuftjcYhic/c_img1=%2F%2Fimg.codes%2F4LmsIiQic/c_img2={c_img2_enc}/q=Rugby+World+Cup+Japan+2019+Live+Stream/

https://www.fortinet.com/blog/threat-research/free-rugby-world-cup-streaming-foul-play/_jcr_content/root/responsivegrid/image_1082523246.img.png

このランディングページと呼ばれる詐欺サイトのトップ画面は、どうやらテンプレートのようで、ワールドカップと関係ない以下のサイトでも似たようなページが確認できます。

  • hxxps://movie-streams-online[.]com/

https://www.fortinet.com/blog/threat-research/free-rugby-world-cup-streaming-foul-play/_jcr_content/root/responsivegrid/image.img.png

日本人の場合、そもそも英語のサイトから買うことはないかと思います。

ただ、自身も経験がありますが、興味が強ければ強いほど、このような普段使わないサイトもアクセスしてしまうんですよね。。

周りでもし、ラグビーの熱狂的なファンがいればちょっとこの記事を紹介してあげるだけでも対策になるかなと思って書いてみました。