フィッシング詐欺とアフリカ(AFRINIC)の謎

（この記事は、medium.comに書いた記事の日本語版です）

現在、フィッシング詐欺は、日本だけでなく世界中で一般的なサイバー犯罪となっています。もはやフィッシングメールを受け取らない日はありません。

セキュリティエンジニアでもある私は、フィッシングサイトを調べていくうちに、奇妙なIPアドレスが使われているケースがあることに気がつきました。犯罪者のインフラをじっくり観察することで、私たちは犯罪者の舞台裏を覗くことができます。

この記事ではそのような奇妙なIPアドレスと、それにまつわるアフリカの謎についてお話します。

フィッシングサイトのインフラ

フィッシングサイトを作るには、二つの要素が必要です。ドメインと、IPアドレス(サーバ)です。

■ドメインレジストラ

日本をターゲットにしているActor（フィッシング犯のこと。以後こう呼びます）は、中国のレジストラを使うことが多いです。よく使われるレジストラとして、西部数码、域趣网络、新网などが挙げられます。

また中国以外でも、価格が安いレジストラ（eNOM, NameSilo, GoDaddyなど）はよく使われます。

■IPアドレス（サーバ）

Actorは多くのホスティング会社を利用します。そのほとんどはまともな会社ですが、時折、奇妙なネットワークに属しているIPアドレスが見つかることがあります。

特徴的なActorは、この奇妙なIPアドレスを利用します。これらのIPアドレスは、中国や香港で使われているのに、AFRINICから割り振り（allocate）されているのです。

AFRINICとIPアドレス

AFRINIC (African Network Information Centre) とは、アフリカ地域を管轄する地域インターネットレジストリ(RIR)です。アフリカ地域のIPアドレスの管理や割り振りを行っています。（アジアで言えばAPNICですね）

日本を狙ったフィッシング犯は、サーバが中国や香港にあるにも関わらず、AFRINICのIPアドレスをしばしば利用します。一つ例を挙げましょう。

このフィッシングサイト hxxp://au-jje[.]com/ のIPアドレスは 154.202.14[.]62 (スキャンログ) で、2020年4月28日に作られました。

このIPアドレスはAFRINICから割り当てされており、"Cloud Innovation"という、セーシェル共和国とアメリカにオフィスを持つ会社(?)から割り振りされています。

■サーバはどこにあるのか？

ここで、このIPアドレスが実際どこにあるのか、tracerouteコマンドを使って調べてみましょう。なおこのフィッシングサイトのIPアドレスはping応答が無かったため、通常のICMPを使うtracerouteではなく、tcptracerouteを実行しています。

tracerouteコマンドの結果を見るに、このサーバは中国にあるようです。一般的に中国では、APNICまたはCNNICから割り当てされたIPアドレスを用います。なぜActorは、中国でAFRINICのIPアドレスを使っているのでしょうか?

なお、このようなケースは通常のケースでも時折発生します。例えばARIN（北米管轄地域インターネットレジストリ）は、Amazon AWSにIPアドレスを割り当てています。そのため私がAWS東京リージョンでWebサーバを立てると、「日本でARINのIPアドレスを使っている」という状態になります。

しかしこのフィッシングサイトのケースは奇妙です。ActorがわざわざAFRINICのIPアドレスを使う理由がありません。

AFRINICでのIP窃盗事件

Krebs on Securityの「The Great $50M African IP Address Heist」という記事に詳しいのですが、AFRINICでは過去に、職員がIPアドレスを横流ししていたという事件がありました。どれだけの規模だったのか詳細は未だ不明ですが、5000万ドル規模と言われていますから随分と大きな量になるはずです。

推測するに、この奇妙なIPアドレスは同様な経緯をたどっているものと思われます。盗まれたIPアドレスはActorに売却され、そしてActorはそのIPアドレスでフィッシングサイトを作っています。AFRINICの暗い過去により、今も日本ではフィッシングサイトに騙され金銭被害を被る人が出続けています。

謝辞

・bunny evans @bunnymaid
・A piece of shadow @io_sono_io_IT
・KesagataMe @KesaGataMe0