Googleの広告出稿サービス「AdWords」を悪用して数千万ドル相当のビットコインを盗み出したサイバー犯罪組織を、研究者らが発見した。

Cisco Talosのサイバーセキュリティ専門家チームは米国時間2月14日、ウクライナのサイバー警察による支援を受けて、過去6カ月にわたり同組織を追跡し、監視することができたことを明らかにした。

研究者チームはブログ記事の中で、活動自体は単純かもしれないが、脅威の主体者らは膨大な金銭的見返りを得ていると述べた。

この犯罪組織は「COINHOARDER」と呼ばれ、そのフィッシング活動は2017年2月に初めて発見された。この組織は、フィッシングリンク、不正なドメイン、ブランドのなりすましによって、ビットコインのウォレットプラットフォーム「blockchain.info」を標的にした。Ciscoは、詐欺広告が表示された時のDNSクエリが1時間あたり20万件を超えたことを確認した。

「この活動は、犯人らがユーザーのウォレットを盗み出すためにGoogle Adwordsを利用してユーザーの検索結果に罠を仕掛けたという点で特徴的だ。このやり口は、Ciscoが確認して以降使われることがますます増えており、攻撃者らは悪意のある広告を介してさまざまな暗号ウォレットや取引所を標的にしている」（Cisco Talos）

この犯罪者らは「入り口」となるフィッシングリンクを設置した。潜在的被害者がGoogleで「blockchain」（ブロックチェーン）や「bitcoin wallet」（ビットコインウォレット）など暗号通貨に関するキーワードを検索すると、こうしたフィッシングリンクが検索結果に表示される。

これらのリンクは、Google AdWordsに登録することで表示される機会を増やし、被害者を不正なドメインに送り込み、IPアドレスと訪問者が利用していると思われる言語に応じてフィッシングコンテンツを表示する。

同チームによると、ハッカーらは従来型バンキングの利用がより困難である国、例えばエストニア、ナイジェリア、ガーナ、その他アフリカ諸国などを特に狙っているという。

COINHOARDERは遅くとも2015年から活動しており、膨大な額のビットコインを盗んできたとCiscoはみている。

2017年9〜12月までに約1000万ドル（約11億円）相当のビットコインを盗んでおり、3.5週という期間で200万ドル（約2億1000万円）相当の窃盗に成功した時期もあるという。過去3年間でみると5000万ドル（約53億円）を超えるとCiscoは推測している。

「（2017年のビットコイン高騰は）犯罪者らに利益をもたらしたものの、おかげで犯罪者らが暗号通貨の資金を米ドルなどの法定通貨に交換するのは、一段と困難になる。この活動が最も盛んだった時期にビットコインが歴史的な価格に達していたら、不正に得たこれらの資金を簡単に動かすのは非常に難しくなっていただろう」（Cisco Talos）

COINHOARDERは巨額の不正な利益を得たことに満足していないようだ。このハッカーらは合法的に見せるために、ブランドのなりすましや国際的ドメイン名と並行して、CloudflareやLet's Encryptが発行しているワイルドカードSSL証明書を利用し始めている。