レポート 7205

概要

クローキング（ウェブサイトの真の姿を隠蔽する行為と技術）は、今日のサイバー犯罪活動において極めて重要な要素となっています。攻撃者は、トラフィック配信システム（TDS）やクローキングキットを用いてドメインクローキングを行い、広告におけるコンテンツ規制を回避したり、マルウェアや詐欺の標的を精密に絞り込んだり、互いの攻撃から身を守ったりしています。攻撃者の中には、独自のTDSを開発したり、BlackTDS、404TDS、ParrotTDSといった完全に犯罪的なシステムへのアクセス権を購入したりする者もいます。しかし、多くは市販のソフトウェアを利用しています。結局のところ、サイバー犯罪は他の経済活動と同様、他者が開発した高度な製品が利用できるのに、わざわざ自社開発する必要はないのです。

Keitaro Tracker（Keitaro TDSとも呼ばれる）は、広告パフォーマンス追跡プラットフォームであり、悪質なキャンペーンで頻繁に確認され、脅威アクターによって悪用されています。もちろん、このような形で利用されている商用トラッカーはKeitaroだけではありません。過去10年間、最も悪名高い犯罪組織の一部がKeitaro TDSを採用したことから、セキュリティコミュニティで注目を集めています。ここ数年、[TA2726]はKeitarohttps://www.proofpoint.com/us/blog/threat-insight/update-fake-updates-two-new-actors-and-new-mac-malwareを利用して、偽のブラウザアップデートキャンペーンのためにSocGholish（TA569）にトラフィックを誘導するという手口を多用しています。SocGholishのターゲティング条件を満たさないウェブサイト訪問者は、他のアフィリエイト広告プラットフォームに誘導されるか、偽のページに誘導されます。TA2726以外にも、Keitaroはセキュリティ関連の文献で数十回報告されており、最近では政府機関を標的としたJiraを使用したスパムキャンペーンで報告されています。

Keitaroが脅威アクターによって悪用されていることは「周知の事実」ですが、その悪用の性質を理解するための長期的な研究はこれまで行われていませんでした。InfobloxとConfiantは過去6ヶ月間、それぞれの補完的な視点に基づき、脅威アクターがトラッカーをどのように利用しているかを理解するため協力してきました。Confiantは広告チェーン全体を可視化できる一方、Infobloxはスパムやウェブサイトのコンテンツを活用し、DNSにおける脅威の出現パターンに焦点を当て、状況把握に役立てています。攻撃で観測されたKeitaroインスタンスには重複がほとんど見られないことを早期に発見したため、両社の知見を組み合わせることで、より説得力のある、そして広範な実態が明らかになりました。

2025年10月1日から4ヶ月間のデータを分析し、そのうちどれだけが悪意のある利用であったかを特定しました。この期間中、投資詐欺から情報窃盗まで、様々なコンテンツをKeitaroで偽装する悪意のあるインスタンスが数千件検出されました。これらのインスタンスへのトラフィックは、侵害されたウェブサイト、スパム、ソーシャルメディア、広告から発生していました。悪用の規模と継続性は驚くべきものです。 Keitaroは、複数のホスティングプラットフォーム上で数分で立ち上げられる、機能豊富なセルフホスティング型トラッカーであり、その点が利用の大きな魅力となっていると考えられます。今回の調査期間中、悪意のあるKeitaroインスタンスに利用されていたドメインは約15,500件確認され、そのうち約9,000件は利用開始前に登録されていました。これらのドメインはConfiantが確認した広告キャンペーンで使用されていただけでなく、スパムメールに含まれていたり、侵害されたウェブサイトに埋め込まれていたり、その他のトラフィックソースからリンクされていたりしました。

調査対象となった脅威の中で、投資詐欺が最も多く見られました。この種の詐欺における最近の傾向として、AIをマーケティングの中心的な要素として利用することが挙げられます。ウェブサイトでは、取引を自動化し、莫大な利益を約束する「高度なAI」や「AI駆動アルゴリズム」を謳うページが頻繁に登場します。また、信頼性を高めるために、ディープフェイク画像や動画を使用する攻撃者も複数確認されました。さらに、誘い込みページや広告クリエイティブとして使用される見出し、コピー、ビジュアルを大量生産するために、生成型AIをプログラム的に利用している兆候も確認されました。

ドメインクローキングに加え、Keitaroのデバイス特性に基づく条件付きルーティング機能により、オペレーターは複雑なトラフィックフローを構築できます。私たちは、こうした詐欺行為で使用されるフローを特徴づけるため、数千件の攻撃事例を分析しました。図1は、地域とユーザーエージェントのコホートからランディングページで使用される言語に至るまでの最も一般的なフローをまとめたものです。これらの攻撃では、訪問者の所在地やデバイスの種類に関わらず、最終的な誘い文句は限られた言語、主にロシア語と英語で表示されていることがわかります。これは、攻撃者によるターゲティング、あるいは攻撃者の能力の限界を示している可能性があります。多くのキャンペーンはグローバル規模で行われていますが、特にConfiantが広告エコシステムで観測した、米国を標的とする注目すべき脅威アクターが存在します。

図1. AI駆動型キャンペーン向けKeitaroトラフィックフィルター

私たちは、Keitaro Trackerを開発・販売するApliteni社が、不正利用報告にどれほど迅速に対応しているかを検証することにしました。Keitaroは長年にわたり悪質な攻撃者に利用されてきたため、同社が不正利用を黙認しているのではないか、つまり、いわば「鉄壁のトラッカー」なのではないかという疑問が生じました。2025年8月以降、私たちは100件以上のドメインを報告しました。同社は私たちのすべての報告に迅速かつ徹底的に対応しました。その結果、10件以上の攻撃者のアカウントが停止されました。 Keitaro Trackerのライセンス規約（https://web.archive.org/web/20251211001713/https:/keitaro.io/terms-of-service-us）では、とりわけ「誤解を招く」コンテンツが禁止されています。これにより、Keitaroは悪意のあるクローキング目的でトラッカーを使用しているインスタンスを停止することができます。私たちが確認したドメインの多くは、有効なライセンスではありませんでした。私たちが確認した活動とKeitaroチームが保有する顧客情報に基づいた複数回のやり取りを通じて、TA2726をはじめとするマルウェア攻撃者が、不正コピーのトラッカーを使用していたことを確認しました。

Keitaro Trackerについて詳細な調査を行いましたが、この複数回にわたる記事は、脅威の状況におけるクローキングの深刻さと広がりを浮き彫りにすることを目的としています。Binomなどの他の商用トラッカーも悪用されており、この調査はKeitaroを他のトラッカーよりも特に非難するものではありません。実際、Keitaroとの協力によって、そうでなければ発見できなかった新たな知見が得られました。信頼性・安全性責任者のヒョリ氏は、今回の報告について次のように述べています。「Keitaroでは、正当なマーケティング活動のためのプロフェッショナルで安全な環境の維持に尽力しています。当社の戦略は、事後対応と事前対策の両方に基づいています。外部からの不正利用報告には迅速に対応する一方で、悪意のあるパターンがエコシステムに影響を与える前に特定し、無力化するために、社内監視にも多大な投資を行っています。介入後、攻撃者が活動を停止しているという事実は、当社のアプローチが効果的であることを証明しています。ソフトウェアベンダーとサイバーセキュリティ専門家が積極的に連携することで、業界の評判とユーザーの安全を効果的に守ることができるため、Infobloxとの協業を高く評価しています。」

これは、本調査結果を共有する3部構成のブログの第1回目です。不正行為におけるAIの利用は増加しており、Keitaroの悪用によって助長されるキャンペーンも例外ではありません。今回のブログでは、キャンペーンでAIを活用した脅威アクターのサブセットについて報告します。そのほとんどは投資詐欺でした。次回のブログでは、両チームが発見したその他の多くの攻撃者サブセットについて調査します。最後のブログ記事では、サイバー犯罪者がKeitaroのソフトウェアの機能や特性を悪用して不正行為を行っている実態を詳しく解説し、ベンダーとの連携による不正利用対策についても触れます。

この記事では実際の事例を交えながら解説しますが、単なるAIや投資詐欺に関するブログではありません。重要なのは、攻撃者がドメインクローキングを利用して、世界中のあらゆるユーザーに対し、悪意のあるコンテンツを際限なく送り込んでいるという点です。そして、Keitaroはこうした攻撃において彼らがよく利用するツールのひとつです。Apliteniは不正利用の報告に対応してきましたが、脅威の量と多様性、そして巧妙な手口やライセンス窃盗といった要素が相まって、これらの技術は防御側にとって常に課題であり、その実態は十分に把握されていないのが現状です。

Confiantはデジタル広告サプライチェーンを保護し、多くの主要な広告取引所、プラットフォーム、パブリッシャーを支えています。パブリッシャーサイトにおける月間約900億件の広告インプレッションの可視性は、マルバタイジング攻撃をブロックする数千ものクライアントサイド統合によって実現されています。この製品スイートは、実際の脅威活動に関するテレメトリも収集し、DNS、スパム、ウェブサイトスキャンを通じてInfoblox Threat Intelが把握している情報を補完します。

投資詐欺とAI

Keitaroのサービスを悪用する脅威の中で、最も多いのは投資詐欺です。InfobloxとConfiantの両社とも、検出対象の中でこの種の詐欺が圧倒的に多いことを確認していますが、私たちの可視性と重点分野の違いにより、脅威アクターは異なっています。 Infobloxは以前公開したブログ記事[https://www.infoblox.com/blog/threat-intelligence/uncovering-actor-ttp-patterns-and-the-role-of-dns-in-investment-scams/]で、これらの詐欺行為を特徴づける繰り返し用いられる戦術、技術、手順（TTP）を明らかにしました。そして、これらのパターンは一貫しています。

• 時間をかけてアルゴリズムを用いて多数のドメインを登録する手法（登録ドメイン生成アルゴリズム（RDGA）と呼んでいます）
• ほぼ同一のウェブフォームを再利用してユーザー情報を収集する
• 均一なウェブサイト構造を生成するキットを展開する
• 捏造されたニュース記事や推薦文を利用して正当性を装う

まずは、Infobloxがこの分野で追跡している、名前を公表していない詐欺グループの一部をご紹介します。これらのグループの多くは、ソーシャルメディア、特にFacebook広告を利用して被害者を誘い込んでいます。 AIがページ生成に利用される事例は長年見られてきましたが、現在では詐欺師たちが偽の取引プラットフォームを悪用する上でAIを巧みに活用しています。図2は、私たちが追跡している、こうした投資詐欺キャンペーンを実行する人物が使用する様々なテンプレートを示しています。

図2. AI搭載の取引プラットフォームを謳う投資詐欺のランディングページ。構造は類似しており、被害者の情報を収集するために共通の埋め込み型Webフォームが使用されている。画像提供：urlscan.io

2つ目の脅威アクターもAIをテーマにした投資詐欺を行っていますが、ウェブサイトのテンプレートデザインは白背景のミニマルなスタイルを採用しています（図3）。スタイルは異なりますが、基本的なパターンは同じです。AIを活用した取引を餌に、被害者を投資詐欺に誘い込みます。市場平均を上回る低リスクの自動運用リターンを謳い、「ブロックチェーン」などの意味のないバズワードを散りばめています。ウェブフォームで訪問者の連絡先情報を収集します。こうした詐欺では、脅威アクターは通常「アカウントマネージャー」を装い、被害者に電話をかけまくって初期投資を募ります。観察された言語分布に基づくと、この俳優は主に英語とドイツ語圏の視聴者をターゲットにしており、加えて日本語、イタリア語、オランダ語、フランス語、スペイン語、ポルトガル語話者もターゲットにしているようだ。

図3. 別の脅威アクターに関連する投資詐欺ランディングページ。これらのページでは、AI搭載の取引プラットフォームとほぼ5つ星のレビューが宣伝されていることが確認された。画像提供：urlscan.io

次の脅威アクターは、AIをテーマにした偽ニュース記事を利用して投資詐欺を宣伝しているようです。有名人の推薦文を捏造するのではなく、これらのページはAIそのものを信頼できる情報源として提示し、一般ユーザーが専門家レベルの取引を容易に行えるようにする革新的な技術として位置づけています。複数の言語で展開されているサイトのバージョン全体を通して、コンテンツは一貫してAI関連の画像と、AIが複雑な金融判断を簡素化するという主張の文章を組み合わせています（図4）。これは、アクターが同じ核となるメッセージを異なるターゲット層に合わせてどのように調整しているかを示しています。また、アクターは表1に示すようなRDGAドメインをキャンペーンに利用しています。

図4. 匿名の攻撃者が、AIを信頼できる情報源として複数の言語で宣伝するために使用した、AIをテーマにした偽ニュースページ。画像提供：urlscan.io

| Lumitex + AI または + X サフィックス | ATT プレフィックス/サフィックス |その他 | | --- | --- | --- | |ルミテクサイハブ[.]com
ルミテクサイクラウド[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
ルミテックスサイトタイ[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | echoatt[.]com
ロケットアット[.]com
tradefyatt[.]com
利益のあるatt[.]com
igniteatt[.]com
autopilotatt[.]com
ウィザーダット[.]com
Quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com | tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com |

| 表1. Keitaroを装ったキャンペーンを展開する匿名の投資詐欺師が使用するRDGAドメイン名パターン |

上記の表1の「その他」列に記載されているパターンドメイン群において、詐欺師は各ランディングページの言語を制御するためにRDGAのサブドメインを多用しています。ホスト名の先頭のラベル（例：tr、au、br、za、swe、mx、pl）は、特定の地域または言語グループに直接対応しており、詐欺師がターゲットとする言語の一部を示しています。ユーザーがこれらのサブドメインのいずれかにルーティングされると、ウェブサイトは自動的に該当する言語でコンテンツを提供します。これにより、詐欺師は同じインフラストラクチャを再利用しながら、各地域に合わせたローカライズされたコンテンツを提供できます。表2は、これらのサブドメインの例を示しています。

| ホスト名 | 言語 |

| --- | --- |

| au.star-boostmedia[.]com | 英語（オーストラリア） |

| br.star-boostmedia[.]com | ポルトガル語（ブラジル） |

| can.star-boostmedia[.]com | 英語（カナダ） |

| mx.star-boostmedia[.]com | スペイン語（メキシコ） |

| pl1.tradingideasai[.]com | ポーランド語 |

| swe.star-boostmedia[.]com | スウェーデン語 |

| tr.star-boostmedia[.]com | トルコ語 |

| za.star-boostmedia[.]com | 英語（南アフリカ） |

| 表2. 観測されたサブドメインとその関連言語。 |

FaiKast

Confiantは、2025年5月よりFaiKast（「Fake AI News Broadcast」の略）を追跡しています。FaiKastは、AIで生成されたディープフェイク動画を利用して、著名なテレビニュースキャスターや公人になりすます脅威アクターです（図5）。これらのディープフェイクは、詐欺的な投資スキームに正当性と緊急性を錯覚させます。FaiKastは、主にBigo Adsを通じてアドテクサプライチェーンに侵入していることが確認されています。Bigo Adsは、Buchodiによる同社のSDKに関するこの新しい調査でも、さらに詳細な調査対象となっています。

図5. FaiKastのニュースキャスターのディープフェイク

FaiKastの典型的な配信手順は以下のとおりです。

ステージ1（誘引）：ディープフェイクのニュースキャスターが登場するAI生成動画広告が、広告配信システムを通じて配信されます。広告は、ターゲット層の言語、通貨、地域ニュースサイクルに合わせてローカライズされます。ターゲット地域には、フランスやイギリスなどのヨーロッパ諸国に加え、カナダ、日本、カザフスタンなどが含まれます。

ステージ2（ランディング）：クリックしたユーザーは、正規のニュースサイト（例：CBCニュース）とほぼ完全に同じデザインのサイトに誘導されます。これらの偽ページには、捏造された読者コメント、実在の著名人（例：カナダ首相マーク・カーニー）の画像、そしてPyravelon、Tyveralon、Quantum AIといった名前の不正な仮想通貨プラットフォームへの登録を促す緊急の呼びかけなどが含まれています。例については図6と図7を参照してください。

第3段階（コンバージョン）：被害者は偽の政府支援ページや不正な投資ポータルに誘導されます。

図6. CBCニュースを装ったFaiKastランディングページの例

図7. FaiKastランディングページの追加例：偽の仮想通貨プラットフォームへの登録を促すコールトゥアクション

WickedWally

WickedWallyは、高齢者や社会福祉制度を必要とする人々など、米国在住の特定の層をターゲットにした、欺瞞的なアフィリエイトマーケティング集団です。債務救済、食費補助、メディケア給付、葬儀費用などの特典を謳って勧誘します。このアクターは少なくとも2024年から活動しており、Confiantによって追跡されています。

WickedWallyは、ニュース報道のように見えるように設計された生成型AIディープフェイク動画広告を使用しており、時事問題や「米国の関税発表により、今週土曜日までクレジットカードの債務を無料で免除できます」といった曖昧な表現を利用しています（例：図8参照）。

図8. 投資詐欺サイトempowerementplan[.]comの広告サンプル（CNNニュース放送を装っている）。

WickedWallyがよく使うランディングページは、偽のチャットボットです。これは、被害者を偽の特典の「資格」があると偽装し、偽の正当性を与えるための「エージェント」との簡単なチャットです。ユーザーは、1-844、888などのプレフィックスが付いた様々なフリーダイヤルに電話をかけるよう促されます。これらの番号は、身元確認されていない第三者のコールセンターにつながり、個人情報や金融情報の提供を促されます。図9をご覧ください。他のランディングページには、偽のレビューや緊急性を煽るメッセージ、偽のロゴ、そして全く非現実的な主張が掲載されています。

図9. empowerementplan[.]comのWickedWallyランディングページサンプル。偽の債務救済の誘い文句が掲載されています。

これらのキャンペーンは、クローキング（隠蔽）を用いる代わりに、正規のリードジェネレーションマーケティングに紛れ込むことで、巧妙に身を隠そうとしています。このような手法にもかかわらず、Keitaroは配信インフラにおいて重要な役割を果たしており、表向きはエンドポイントルーティングとキャンペーン追跡に用いられています。私たちの調査では、この攻撃者はキャンペーン配信チェーンの一部としてKeitaro Trackerを繰り返し使用しており、関連する活動を特定する上で有用な指標となります。

テクニカルサポート詐欺（出典不明）

マルバタイジングは、テクニカルサポート詐欺（TSS）を摘発するための有効な情報源であり続けています。 Confiantは、この分野で非常に類似したTTP（戦術、技術、手順）を示す複数のアクターを追跡しています。クローキングは一般的ですが、これらのチェーンでKeitaroが頻繁に確認されることはありません。しかし、昨年10月に注目すべき例外が明らかになりました。そのキャンペーンでは、TSSオペレーターがAI生成アセットをルアーサイトに組み込みました。これは、認識される正当性を高め、生産規模に応じて拡張できる手法です。その後、Keitaroを使用して、IP、地理、ユーザーエージェント、リファラーなどのシグナルに基づいて、ルアーサイトからの訪問者を詐欺ランディングページやその他のペイロードに条件付きでルーティングし、ターゲット以外のユーザーを無害なコンテンツに誘導しました。ルアーサイトは人気のあるブランドやトピックを装い、幅広いコマースキーワード（例：テイラー・スウィフト、靴、枕、ボードゲーム）を使用して、検索と広告在庫全体に広範囲に網を張りました。このプログラマティックなアプローチにより、アクターは多様なクエリに一致するページを大量生産し、SEOカバレッジを拡大し、サポート詐欺ファネルへの安定した流入を維持できます。この攻撃者は、OpenAIのDALL-Eテキスト画像生成ツールをはじめとするAI技術をいち早く導入しています。Confiantは2023年11月からこの活動を追跡しています。

典型的なTSS攻撃者のTTP（戦術、技術、手順）は以下のとおりです。

ステージ1（誘引）：パブリッシャーページのプログラマティックディスプレイ広告枠にネイティブディスプレイ広告が配信されます。広告クリエイティブには、目立つ緑色の「START」ボタン、IQテストのプロンプト、偽のダウンロードオファー、またはクリックベイト的なトピック（ガーデニングのヒント、引越し業者、ライフスタイルコンテンツなど）が使用されています。TSS攻撃者は、広告自体でのカスタムJavaScriptの実行を許可しない、ロックダウンされたネイティブ広告テンプレート内で活動できます。広告はますます高度化しており、シンプルなボタン型のクリエイティブから、「見る」「学ぶ」「続ける」といった呼びかけを含む、より洗練された広告テキストへと進化しています。図10は、これらのタイプの広告の例を示しています。

図10. ステージ1で使用されるネイティブディスプレイ広告の例

ステージ2（クローキングとランディング）：クリックしたユーザーは、複数ステップのクローキングされたランディングページに誘導されます。最初のページは通常クローキングされておらず、「続行」ボタン、「クイズを開始」、または「続きを読む」といった大きなプロンプトが表示されます。このページはペイロードへの入り口として機能します。クローキングキットは、舞台裏でクライアントサイドのフィンガープリンティングを実行します。IPアドレスの位置情報（米国ターゲティング）、ユーザーエージェント（WindowsとmacOS）、ASNブラックリスト、クリックURLパラメータの有無などを確認し、訪問者が有料広告のクリック経由でアクセスしたことを確認します。条件を満たさないトラフィックには、通常、図11に示すような、一見無害に見えるウェブサイトのクローンであるホワイトページが表示されます。

図11. marrowcliff[.]org のクローキングされたホワイトページ

クローキングされたページのテーマは、時間の経過とともに大きく進化しており、ConfiantはTSSアクターがAIを使用する際に、こうしたクローキングページを利用していることを確認しています。これらの手口には以下のようなものがあります。

• DALL-E画像を使用したAI生成コンテンツページ（テイラー・スウィフト、靴、枕、ボードゲームなど、多様なトピックを扱っています）
• 偽のクイズ／IQテスト（現在は減少傾向）
• 正規のデジタルマーケティング会社、SEO会社、Capterraなどのプラットフォームのウェブサイトを模倣したクローンサイト
• 2秒後、またはユーザーの操作（同意または拒否）に応じて自動的にリダイレクトされるCookie同意モーダル

ステージ3（TSSペイロード）：フィンガープリンティングを通過した被害者は、HTTP 302経由でテクニカルサポート詐欺ページにリダイレクトされます。これらのページは多くの場合、Azure Blob Storage（*.web.core.windows.netサブドメイン）上にホストされています。これらのページは短命で、MicrosoftまたはAppleを装い、偽のウイルス警告、トロイの木馬警告、Windows Defenderエラーメッセージ（図12）、偽のシステムスキャン結果を表示します。被害者は偽のサポート番号に電話するように促されます。詐欺師はリモートアクセスを要求し、偽の診断を実行した後、クレジットカード、ギフトカード、電信送金、または仮想通貨による支払いを要求します。報告されている被害額は、個人で4万ドルを超えています（記録された事例）。

図12. 隠蔽されていないTSS偽アラート、偽スキャン、および支払い要求

TSSの活動は主に米国のユーザーを標的としており、フィンガープリンティングロジックによって米国のIPアドレス範囲に特化してアクセスを制限しています。二次的な標的としては、日本（日本語の広告）や、より広範な英語圏およびヨーロッパ言語圏の市場が含まれます。

FishSteaks

私たちの分析により、FishSteaksという成熟したグループに関するいくつかの知見が明らかになりました。このグループは少なくとも2024年3月から活動しており、おそらくそれよりもずっと以前から活動していたと考えられます。最近のキャンペーンでは、FishSteaksがKeitaroをクローキングメカニズムとして利用し始めていることが確認されています。彼らは米国をターゲットとしたキャンペーンを展開し、人気のあるアメリカの消費財ブランドを装った、魅力的なプレゼントキャンペーンを装ったクリエイティブで被害者を誘い込みます。

被害者は、個人情報とクレジットカード情報を盗み取るために設計された最終的なフィッシングサイトに到達する前に、複数の段階に分かれたゲーム化されたランディングページを経由させられます。攻撃者は、ブランドのローテーション、サブドメインの循環、そしてキャンペーン開始時にブランドロゴに置き換えられるAI生成のプレースホルダーアセットの使用などにより、拡張性の高い運用を実現しています。仮想の景品ボックスや紙吹雪が舞うといったゲーム化の手法は、被害者のエンゲージメントとページ滞在時間を高め、コンバージョン率を向上させています。

下記の図13と図14のスクリーンショットは、10月を通して、そして11月には断続的に活動していたドメイン5000-giftcardswb[.]ruと、12月に活動していたtryhappycards[.]ruのランディングページを示しています。どちらのキャンペーンもKeitaro氏を利用し、ネイティブモバイルアプリのウィジェットに似た一般的な広告クリエイティブでユーザーを誘い込んでいました。

図13. FishSteaks偽モバイルアプリウィジェット

図14. tryhappycards[.]ruプレゼントキャンペーンページ

AIは戦力増強ツール、Keitaroはそれを可能にするツール

我々が収集したすべての観測データポイントにおいて、Keitaroが関与する攻撃が数千件確認されました。サイバー犯罪エコシステムのこの分野で活動する攻撃者の多様性と膨大な数は、非常に憂慮すべきものでした。最も一般的な攻撃カテゴリは投資詐欺であり、その中でも特に巧妙なのがAIを活用した詐欺でした。古くからあるものの依然として非常に効果的な投資詐欺の手法と最新のAI技術を組み合わせることで、攻撃者は大規模かつ巧妙なサイバーキャンペーンを展開することが可能になりました。この手法は、条件付きトラフィックルーティング（地理情報/IPアドレス/ASN、ユーザーエージェント/リファラー、リスクベースのフロー）、AIによるパーソナライズされたコンテンツ、そしてスキャナーには無害なページを表示し、実際のユーザーには魅力的な誘惑を表示するクローキングを組み合わせることで、従来の防御策を無効化し、規模を拡大します。これらの技術を組み合わせることで、シグネチャベースおよびルールベースのセキュリティ制御の有効性が低下し、攻撃者のコンバージョン率が向上します。

攻撃者は、規模拡大とリード獲得のために、DNSインフラストラクチャと広告パイプラインを多用しました。これらのキャンペーンの多くは、連絡先情報の入力や電話での指示への従順など、ユーザーの行動に依存しているため、効果的なソーシャルエンジニアリングが成功の鍵となります。そのため、攻撃者は信頼とエンゲージメントを最大化するためにTTP（戦術、技術、手順）を調整し、ブランドを模倣した類似ドメイン、ターゲットに合わせた高精度なAI生成クリエイティブ、そして信頼できる代表者やメディア関係者を装うためのディープフェイク音声/動画アセットを日常的に展開しています。

Keitaroを悪用した攻撃は複雑かつ広範囲に及ぶことが多いものの、Apliteniが悪用エスカレーションに迅速に対応していることは心強い限りです。連携した報告活動により、既にインフラやアカウントの停止に至っており、攻撃者がドメインや広告クリエイティブを次々と変更する中でも、有効な対策を講じる道筋が確保されています。

今後の展望

今回の調査結果と事例をすべて網羅することは不可能だったため、第2部（全3部）では、AIをテーマにした誘い文句にとどまらず、Keitaroとそのスパムおよび広告パイプラインを利用したその他の詐欺手口を検証します。また、ウェブサーバーフィンガープリンティングとJA4+を用いて、Keitaroサーバーをさらに特定し、マルウェア配布活動を明らかにした方法についてもご紹介します。

指標

以下の表は、ここで取り上げた脅威に関連する厳選された指標を示しています。より包括的な指標リストは、GitHubリポジトリでご覧いただけます。

注：これらのドメインは、非アクティブまたは盗難されたライセンスに関連付けられている可能性があります。

| 指標 | 説明 |

| --- | --- |

| fin-zen-ai[.]com
synatra-nexus[.]com
toonie-bot[.]com
veltimo-ai[.]com | AI搭載の取引プラットフォームを利用した投資詐欺を行う、名前不明の脅威アクターが使用しているドメイン。これらのドメインは、図2の例に関連付けられています。|

| argea-ai[.]org
el-camino-trader[.]com
mizuai[.]org
myhomequote[.]xyz
nuve-ai-invest[.]vip
nuvei-bot-neway[.]org
nuvei-bot-neway[.]vip
plumaclean[.]com
powerquizmaster[.]com
truenorth-yachts[.]com | 上記の行で言及されている、投資詐欺を実行している同一の匿名の脅威アクターが使用しているドメインの追加サンプル。|

| cryptopassive-swiss-switzerland[.]org
nexiroka[.]net
samsosi[.]net
yieldup[.]ch | 投資詐欺を実行している匿名の脅威アクターが使用しているドメイン。これらのドメインは図3の例に関連しています。|

| bitget-passive-income[.]com
cardanocrypto[.]ch
clarozenvix[.]com
crypto-nsw-app-au[.]com
gentlevector[.]com
kyvaronedge82[.]com
newton-passive-income[.]net
opulatrix[.]ch
owleblo[.]net wirbeldappix[.]ch | 上記の行で言及されている、投資詐欺を実行している同一の匿名の脅威アクターが使用しているドメインの追加サンプル。|

| au[.]lpa1[.]star-boostmedia[.]com
pl[.]star-boostmedia[.]com
pol[.]star-boostmedia[.]com
lumitexchainai[.]com | AIをテーマにしたフェイクニュースキャンペーンを実行している匿名の脅威アクターが使用しているドメイン。これらのドメインは図4の例に関連しています。|

| lumitexaihub[.]com
lumitexaicloud[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
lumitexinsightai[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | 上記の行に記載されている、同一の匿名の脅威アクターが使用しているドメインの例。「lumitex +AI または +X サフィックス」パターンを持つドメイン |

| echoatt[.]com
rocketatt[.]com
tradefyatt[.]com
profitlyatt[.]com
igniteatt[.]com
autopilotatt[.]com
wizardatt[.]com
quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com |上記行の同一人物が使用しているドメインの例。「ATT 接頭辞/接尾辞」パターンを持つドメイン |

| tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com | 上記行の同一人物が使用しているドメイン。明らかな共通パターンは見られないが、サブドメインを利用してページの言語を特定している。 |

| tryhappycards[.]ru
yourluckycard[.]ru | FishSteaks - プレゼント詐欺 |

| marrowcliff[.]org
nestledawn[.]org | テクニカルサポート詐欺 |

| empowerementplan[.]com
financialmatcher[.]com | WickedWally - 債務救済詐欺 |

|富裕層[.]クリック
ノーザンアベニュー[.]info
fzclbsmartcbeaa[.]com
mcdpwmachineylpdn[.]com
資金-宝物[.]com
vwyitsensorjieho[.]com
資金手当[.]com
現金収入[.]xyz
コグニシック[.]com
スリーゲート[.]com
logisrive[.]com
yoxjsensordkzb[.]com
ggkngpssanil[.]com
zoizagricultureciva[.]com
tmgmaiwwta[.]com | FaiKast -- Gen AI ブロードキャストペルソナのなりすまし |