FreeDrain攻撃が拡大：SEOを悪用した38,000以上のサブドメインで暗号資産ウォレットのシードフレーズを窃取

2025年5月10日10:07

サイバーセキュリティニュース

FreeDrain攻撃が拡大：SEOを悪用した38,000以上のサブドメインで暗号資産ウォレットのシードフレーズを窃取 - innovaTopia - （イノベトピア）

Last Updated on 2025-05-10 10:07 by admin

サイバーセキュリティ研究者たちは、数年にわたって暗号資産ウォレットからデジタル資産を盗むために設計された「産業規模のグローバルな暗号資産フィッシング作戦」を発見した。この作戦は脅威インテリジェンス企業のSentinelOneとValidinによって「FreeDrain」と名付けられている。

FreeDrainは、SEO操作、無料ティアのウェブサービス（gitbook.io、webflow.io、github.io、Teachable、Strikingly、WordPress.com、Weebly.com、GoDaddySites、Educator Pages、Webadorなど）、および階層化されたリダイレクト技術を使用して暗号資産ウォレットを標的にしている。被害者はウォレット関連のクエリを検索し、ランキングの高い悪意のある結果をクリックして誘導ページに到達し、シードフレーズを盗むフィッシングページにリダイレクトされる仕組みである。

このキャンペーンの規模は、誘導ページをホストする38,000以上の異なるFreeDrainサブドメインが特定されたことに表れている。これらのページはAmazon S3やAzure Web Appsなどのクラウドインフラでホストされ、正規の暗号資産ウォレットインターフェースを模倣している。

この活動はGitHubコミットのパターンから、インド標準時間（IST）タイムゾーンを拠点とし、標準的な平日の時間帯に働く個人に高い確信度で帰属されている。SentinelOneとValidinの調査は2024年5月12日に被害者からの連絡を受けて本格化した。

攻撃は、Google、Bing、DuckDuckGoなどの検索エンジンで「Trezorウォレットの残高」などのウォレット関連のクエリを検索するユーザーを標的にしている。これらのページに到達したユーザーには、正規のウォレットインターフェースの静的スクリーンショットが表示され、クリックすると以下の3つの動作のいずれかが発生する

ユーザーを正規のウェブサイトにリダイレクトする
ユーザーを他の中間サイトにリダイレクトする
ユーザーをシードフレーズの入力を促す偽装フィッシングページに直接誘導し、ウォレットを空にする

囮ページで使用されるテキストコンテンツは、OpenAI GPT-4oなどの大規模言語モデルを使用して生成されていると考えられている。また、FreeDrainは「スパムデキシング」と呼ばれるSEO操作技術も使用しており、韓国の大学の写真アルバムページに26,000件のコメントスパムが見つかった例もある。

このキャンペーンの一部はNetskope Threat Labsによって2022年8月から記録されており、2024年10月には脅威アクターがWebflowを利用してCoinbase、MetaMask、Phantom、Trezor、Bitbuyを装うフィッシングサイトを立ち上げていることが発見された。

また、Check Point Researchは、Discordを悪用し、Inferno Drainerと呼ばれるDrainer-as-a-Service（DaaS）ツールを使用して資金を盗む別のフィッシングキャンペーンを発見している。2024年9月から2025年3月の間に、Inferno Drainerによって30,000以上のユニークなウォレットが被害を受け、少なくとも900万ドル（約13億5000万円）の損失が発生したと推定されている。

さらに、Binance、Bybit、TradingViewなどの信頼される暗号資産取引所や取引プラットフォームを装ったFacebook広告を利用するマルバタイジングキャンペーンも発見されており、主にブルガリアとスロバキアの18歳以上の男性を標的にしている。

References:
38,000+ FreeDrain Subdomains Found Exploiting SEO to Steal Crypto Wallet Seed Phrases

【編集部解説】

FreeDrain作戦の発見は、暗号資産セキュリティの世界に新たな警鐘を鳴らしています。SentinelOneとValidinの共同調査によって明らかになったこの攻撃は、2022年8月から続いていることが確認されており、その規模と精巧さは従来のフィッシング攻撃とは一線を画しています。

特筆すべきは、この攻撃がSEO（検索エンジン最適化）技術を悪用している点です。通常、SEOは有益なコンテンツをユーザーに届けるための手法ですが、FreeDrainはこれを逆手に取り、悪意あるページを検索結果の上位に表示させています。特に「スパムデキシング」と呼ばれる手法を使用し、メンテナンスの行き届いていないウェブサイトに大量のスパムコメントを投稿することで、検索エンジンのアルゴリズムを操作しているのです。韓国の大学の写真アルバムページに26,000件ものコメントスパムが見つかった事例は、その規模の大きさを物語っています。

また、攻撃者がAI技術を活用してコンテンツを大量生成している点も注目に値します。OpenAI GPT-4oなどの大規模言語モデルを使用することで、人間が書いたかのような説得力のあるテキストを短時間で作成し、被害者を騙す効率を飛躍的に高めています。これは生成AIの悪用という新たな脅威の台頭を示しています。

無料ティアのウェブサービスを悪用している点も重要です。gitbook.io、webflow.io、github.ioだけでなく、Teachable、Strikingly、WordPress.com、Weebly.com、GoDaddySites、Educator Pages、Webadorなど多数のプラットフォームが悪用されています。これらのプラットフォームは正規のサービスであるため、セキュリティフィルターを通過しやすく、また無料で利用できるため、攻撃者にとってコストパフォーマンスの高い攻撃基盤となっています。

SentinelOneとValidinの調査によれば、FreeDrainの運営者はインド標準時間（IST）タイムゾーンを拠点とし、標準的な平日の時間帯に活動しているとされています。これはGitHubコミットのパターン分析から高い確信度で特定されており、組織的な犯罪グループの存在を示唆しています。興味深いことに、この調査は2024年5月12日に被害者からの連絡を受けて本格化したものです。

この攻撃手法の特徴は、被害者が自ら検索エンジンで情報を探す過程で罠にはまるという点です。従来のフィッシングメールやマルウェア広告とは異なり、ユーザー自身が能動的に検索した結果として悪意あるサイトに誘導されるため、警戒心が低下しやすくなります。

FreeDrainの影響は広範囲に及びます。暗号資産市場の拡大に伴い、初心者から経験者まで多くのユーザーがこの種の攻撃のリスクにさらされています。特に「シードフレーズ」という暗号資産ウォレットの「鍵」を狙った攻撃は、一度流出すると資産を完全に失う可能性があるため、特に危険です。原典では一例として約8 BTC（約50万ドル相当）の被害事例が報告されていますが、総被害額は明らかにされていません。

この事例は、テクノロジーの進化とともにサイバー攻撃も高度化していることを示しています。特に注目すべきは、攻撃者が複数の技術（SEO、AI、ソーシャルエンジニアリング）を組み合わせ、さらに正規のプラットフォームを悪用することで、従来のセキュリティ対策を迂回している点です。

対策としては、ウェブサービスプロバイダー側でのセキュリティ強化が急務です。無料ティアのサービスにおいても、アイデンティティ検証や不正利用の監視を強化する必要があります。また、検索エンジン側でも、SEO操作を検出する仕組みの改善が求められます。

ユーザー側では、暗号資産ウォレットのシードフレーズを絶対にオンラインで入力しないこと、公式サイトをブックマークして直接アクセスすること、可能であればハードウェアウォレットを使用することなどの基本的な対策が重要です。

この事例は、デジタル資産の安全性に関する規制や業界標準の必要性も浮き彫りにしています。自己責任が原則の暗号資産市場において、ユーザー保護のための枠組み作りが今後さらに重要になるでしょう。

FreeDrainのような攻撃は今後も進化し続けると予想されます。テクノロジーの発展は私たちの生活を豊かにする一方で、新たな脅威も生み出します。しかし、適切な知識と警戒心を持つことで、多くの攻撃から身を守ることができます。innovaTopiaでは、今後も最新のセキュリティ情報を提供し、読者の皆様のデジタル資産の安全を守るお手伝いをしていきます。

【用語解説】

シードフレーズ:
暗号資産ウォレットへのアクセス権を復元するための12〜24個の単語からなる秘密の文字列。銀行口座の暗証番号よりもさらに重要で、これを知られると資産を完全に失う可能性がある。

SEO操作:
検索エンジン最適化（Search Engine Optimization）を悪用し、本来価値のないコンテンツを検索結果の上位に表示させる手法。正規の店舗に見せかけた偽物の看板を目立つ場所に設置するようなものである。

スパムデキシング:
SEO操作の一種で、メンテナンスの行き届いていないウェブサイトに大量のスパムコメントを投稿し、検索エンジンのインデックスを操作する手法。壁に無断で広告を貼りまくるような行為に例えられる。

Drainer-as-a-Service (DaaS):
暗号資産を盗むための「ドレイナー」と呼ばれるツールをサービスとして提供するビジネスモデル。犯罪者が技術的な知識がなくても簡単に攻撃を実行できるようにするサービスである。

無料ティアのウェブサービス:
無料で利用できるウェブホスティングサービスの基本プラン。gitbook.io、webflow.io、github.io、Teachable、Strikingly、WordPress.com、Weebly.com、GoDaddySites、Educator Pages、Webadorなどが該当する。

【参考リンク】

SentinelOne（外部）
AI技術を活用したサイバーセキュリティソリューションを提供する企業。

Validin（外部）
サイバー脅威の調査・分析を行い、企業のセキュリティ対策を支援する企業。

Check Point Research（外部）
サイバーセキュリティの脅威に関する調査・研究を行い、その成果を公開している。

Trezor（外部）
物理的なデバイスで暗号資産を安全に保管できるハードウェアウォレット。

MetaMask（外部）
ブラウザから直接イーサリアムのdAppsにアクセスできる人気のウォレット。

Phantom（外部）
Solanaエコシステムで使用される主要なウォレットアプリケーション。

【編集部後記】

暗号資産をお持ちの方、または今後始めようと考えている方は、FreeDrainのような巧妙な攻撃にどう備えていますか？検索結果から公式サイトを見分ける自分なりの方法や、大切なシードフレーズの管理方法など、みなさんのセキュリティ対策をぜひSNSでシェアしていただけると嬉しいです。また、この記事で取り上げた無料ウェブサービスの悪用やAIを使ったコンテンツ生成など、新たな攻撃手法について、さらに知りたい点はありますか？みなさんの声を聞かせてください。