偽造クーポンを利用した景品、割引、払い戻しに関する詐欺は、一部報道によると、米国経済に毎年 3 億~6 億米ドル(2017 年 10 月 10 日現在、約 338 億~676 億円)の損害を与えています。お金が動く所には、そこに乗じるサイバー犯罪者も集まります。そのため、サイバー犯罪者がアンダーグラウンド市場で広がりを見せるクーポン詐欺に参入したとしても驚くべきことではありません。
クーポン詐欺が企業に与える影響を見てみましょう。2012 年には、大手製造業者らが偽造クーポンによる被害に遭い、ある一般消費財製造企業の損害は約 128 万米ドル(約 1 億 4,400 万円)でした。10 年にわたって続いていたことが判明した別のクーポン詐欺では、被害に遭った各企業は少なくとも2 億 5 千万米ドル(約 282 億円)の損害を被りました。
クーポン詐欺によって企業が被る損害は、お替り自由のコーヒー、無料のライドシェアやホテル宿泊、デジタル機器の割引等の費用にとどまりません。業務プロセス等の一部を改変し、金銭や商品、情報等を窃取する「ビジネスプロセス詐欺(Business Process Compromise、BPC)」に発展した場合、クーポン詐欺は企業の収益に重大な影響を与える可能性があります。
■クーポン詐欺と 「ビジネスプロセス詐欺(BPC)」
トレンドマイクロがアンダーグラウンド市場で確認したクーポン詐欺の手法は多岐にわたります。しかし、特にビジネスプロセスに関わるクーポン詐欺にはいくつかの共通点があります。図 1 はクーポン詐欺に共通する典型的な手法を図示したものです。
図 1:クーポン取引の一般的な業務プロセス(①~⑤)
アンダーグラウンドサービスとクーポン詐欺を組み合わせた手法(水色)
図 2:消費者製品製造企業における一般的なクーポン取引(左)と改変されたプロセス(右)
一般的なクーポン取引では、クーポン情報が、消費者、クーポンを提供する小売業者、清算代理業者の間でやり取りされます。ここに、オンラインクーポン配布業者や、小売店に代わってクーポンを宣伝するメディアサービスプロバイダのような仲介業者が加わることも珍しくありません。
実際、クーポン情報をやり取りする多くの経路が存在します。その中に脆弱な経路が 1 つあるだけでサプライチェーン全体が影響を受ける可能性があります。アンダーグラウンド市場では、クーポンコードやプロモーションコードを生成するアルゴリズムを収集または解析することにより、その脆弱性を突いてクーポン詐欺を実行する製品やサービスが販売されています。そのような攻撃方法の例として、スターバックスカード残高を改ざんする方法が報告されています。この手法は、カードを管理する Web アプリケーションに競合状態を引き起こす脆弱性を悪用するものでした。
特定の地域や対象限定のクーポンやプロモーションコードが悪用される場合もあります。トレンドマイクロが確認したオンライン掲示板のある常連ユーザは、モバイル端末による音声通話、SMS およびインターネット接続のためのプロモーションコードを販売していましたが、これはある情報通信企業が自社の職員に付与したものでした。別の事例では、ホテルの従業員が職員価格の適用を受けるために予約または登録時に入力するコードが悪用されました。
以上のような事例は氷山の一角に過ぎません。トレンドマイクロがアンダーグラウンド市場で確認した多くの製品やサービスの中には詐欺行為を自動化するものもありました。そのような製品やサービスは、クーポンやプロモーションコードの偽造や不正利用を活発化させるのに十分な拡張性を備えています。また、アンダーグラウンド市場で販売されている偽造クーポンは、正規価格の 3 倍から 10 倍も安価で取引されていることも注目に値します。以下では、弊社がアンダーグラウンド市場で確認したクーポン詐欺の手法について解説します。
■典型的なクーポン詐欺の手法
- 脆弱性の悪用と総当たり攻撃によるクーポンコードの不正利用
アンダーグラウンド市場では、総当たり攻撃によって有効なクーポンコードを検索するソフトウェアが販売されており、ソーシャルメディアの動画チャンネルにアップロードされたマニュアルまで確認されています。ある動画は、ライドシェアサービスのプロモーションコードを入手する方法を解説していました。クーポンのプロモーションコードに含まれる無作為な文字列は企業や小売業者が生成しますが、攻撃者がプロモーションコードを事前に生成したり、総当たり攻撃によって探索する方法を入手した場合、業者はクーポンを管理できなくなります。理論的には、適切な方法で生成された無作為な文字列を事前に決定することは困難ですが、実際にはそれが可能になる場合があります。プロモーションコードを生成および検証する Web アプリケーションに脆弱性が存在する場合、その脆弱性を悪用することにより攻撃者がプロモーションコードを入手することができるかもしれません。
図 3:ロシアのアンダーグラウンドのオンライン掲示板で確認された、有効なクーポンコードを総当たり攻撃で検索するコード - クーポンの転売/クーポンコード生成サービス
偽造されたものであるかどうかに関わらず、クーポンは他の詐欺師や一般の利用者に販売することによって金銭化されます。また、クーポンコードを検証するオンラインのチェックデジット計算機を悪用し、有効と判定されるクーポンコードを生成するサービスもあります。ソーシャルメディアでコンテンツを宣伝する業者向けのクーポン生成ツールも注目に値します。
図 4: クーポン生成ツール、右はソーシャルメディアで宣伝サービスを提供する業者向け
図 5:「Dark Web(ダーク Web)」で、Amazon ギフトカードのコードを販売する広告 - 新規登録キャンペーンの悪用/アカウントの販売
アンダーグラウンド市場で「新規アカウント」が販売されていることが確認されています。一括購入することも可能です。このようなアカウントは、小売業者が提供する新規登録特典やその他の無料サービスを利用するために購入されます。他にも、Google Cloud プラットフォームの新規登録アカウントを悪用し、仮想通貨発掘プールの一部として利用する方法を解説した投稿も確認されています。
図 6:ギフトカードの残高があるスーパーマーケットチェーン「Walmart」のアカウントを販売する広告 - クーポン特典の転売/成功報酬型広告によるクーポンの転売
クーポンは、詐欺師たちの間で代替通貨としても利用されており、クーポン提供者の追跡を困難にするために転売されます。また、クーポンを利用して入手した商品を販売する者もいます。他にも、ソーシャルエンジニアリングの手法を用い、悪徳マルチ商法(ピラミッドスキーム)や成功報酬型広告(アフィリエイト広告)でクーポンを転売するような詐欺行為を唆す者もいます。
図 7:オンライン掲示板「AliExpress」でクーポンを転売する投稿
図 8:電子ウォレット「QIWI」やプリペイドキャッシュカードを販売する広告(左)
電気製品小売業者「M.video」の商品を 25% 引きするダーク web の広告(右)
■被害に遭わないためには
クーポンは、製品やサービスの認知度を向上し、より多くの取引を企業にもたらす役に立ちます。しかし、新規顧客の獲得という利点がある一方で、企業はルールに違反して商品や割引を得ようとする人々にも注意を払い、悪用可能な不備が無いようにする必要があります。
2017年3月に米国の家庭用品製造および卸売業者が発行したクーポンに確認された不備がその一例です。有効期限が印刷されていたにも関わらず、バーコードには期限が設定されていませんでした。この不備を悪用すると、同じクーポン情報を繰り返し利用することが可能になります。
企業は以下のような対策を導入してください。
- クーポンコードの再利用、配布、有効期間を制限してください。
- 対象とする利用者以外に悪用されないように、より複雑なクーポンコードの使用、マイクロ文字の印刷、透かし、クーポンコードの認証および検証のような偽造防止技術を採用してください。
- 使用後にクーポンコードを無効化してください。
- クーポンプログラムの検討、微調整、より強力な詐欺対策やリスク管理ポリシーについて、配布業者、関係者、および法執行機関と積極的に協業してください。
さらに重要なことは、企業の業務プロセスを管理するゲートウェイやエンドポイント、ネットワーク、サーバ、そしてインフラストラクチャのプライバシー、セキュリティー、および完全性を確実にすることです。
参考記事:
- 「Business Process Compromise and the Underground’s Economy of Coupon Fraud」
by Vladimir Kropotov and Fyodor Yarochkin (Senior Threat Researchers)
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)