ニュースに戻る ScamIntelLogs の調査およびツールの公開
TDSのケイタロ:1,500枚のパネルが公開されたが、正当な用途は1つも見つからなかった あなたがこれまで目にしたことのないあらゆる詐欺の背後に潜む隠蔽エンジン。PhishDestroyは50,000以上のサイトをスキャンし、1,565件の「Keitaro TDS」管理パネルを発見しましたが、正当な導入例は1件も見つかりませんでした。これらのパネルはすべて、暗号資産詐欺、フィッシング、マルウェアの配布、あるいはそれ以上の悪質な活動に関連していました。 クライアントには、EvilCorp、LockBitランサムウェア、VexTrioなどが含まれます。オープンソースの検出ツールキット、7つのポイントからなる調査手法、およびパネル全体のCSVデータが公開されました。
読了時間:約10分 · 更新されました 2026年3月 · PhishDestroyインテリジェンス
1,565件のパネルが見つかりました 悪意のある割合 100% 7 検出方法 4つのツールがリリースされました
「ケイタロウTDS」とは何ですか? Keitaro TDSは、以下の企業が販売する商用トラフィック配分システムです。 Apliteni OU 、に設立された会社 エストニア . 表面的には、アフィリエイトマーケター向けのトラフィック管理ツールとして売り出されています。しかし実際には、世界的な詐欺エコシステムにおいて、最も広く導入されているクローキングエンジンなのです。
クローキングとは、訪問者ごとに異なるコンテンツを表示する手法のことです。セキュリティ研究者、広告審査担当者、または法執行機関の職員が特定のURLにアクセスすると、Keitaroはそれらを識別し、問題のない無害なページを表示します。 一方、実際の被害者が同じURLにアクセスすると、暗号資産詐欺、フィッシングページ、マルウェアのダウンロードページ、あるいは不正なECサイトへとリダイレクトされます。被害者は「クリーンな」バージョンを目にすることは決してありません。アナリストもまた、詐欺の痕跡を目にすることはありません。
ケイタロの価格帯は 月額40ユーロ~400ユーロ 、これをエンタープライズグレードの不正防止インフラとして位置づけています。このシステムは、訪問者データを最大 9.75年 、これにより、オペレーターは被害者の指紋、地理データ、行動プロファイルからなる膨大なデータセットを入手できる。これらのデータはすべて AWSインフラストラクチャ 、つまり、Amazonは知らず知らずのうちに、何千もの詐欺事業のバックエンドをホストしていることになる。
ペーパーカンパニーApliteni OU エストニアを拠点としており、同国の「e-Residency」プログラムや、企業にとって有利なプライバシー関連法を活用している。 同社は、プロフェッショナルなマーケティング、文書作成、顧客サポートを通じて表向きは正当性を装っているが、その製品の測定可能な導入事例はすべて犯罪活動と結びついている。同社は、実質的に「詐欺・アズ・ア・サービス(Scam-as-a-Service)」プラットフォームであり、データを10年近く保存するこのサービスに対し、月額40~400ユーロを請求している。
数字:パネル数1,565枚、正当なものはゼロ PhishDestroyの調査は、ある単純な仮説から始まりました。すなわち、「Keitaro TDSに正当な用途があるなら、それらは大規模に見つかるはずだ」というものです。そこで、私たちはスキャンを行い、 50,000以上のサイト 自動化ツールと手動による検証を組み合わせて、特に「Keitaro TDS」の痕跡を探しました。その結果、疑いの余地のない事実が判明しました。
1,565件の稼働中のKeitaro管理パネル が発見されました。私たちはそれらを一つひとつ分析しました。その結果: 正当な導入事例はゼロ . 合法的なアフィリエイトマーケティングやA/Bテスト、あるいはその他の無害な目的のために利用されていたパネルは一つもありませんでした。すべてのパネル――100%――が犯罪活動に関与していました。
虐待の分類別内訳 1,565のパネルは、6つの主要な詐欺カテゴリーに分類されました。多くのパネルは複数のカテゴリーに同時に属しており、ケイタロのトラフィックルーティング機能を利用して、地域、端末、時間帯に応じて被害者を異なる種類の詐欺へと誘導していました。
虐待の分類 説明 仮想通貨詐欺 偽の投資プラットフォーム、ウォレットから資金を搾り取るサイト、被害者を騙し取るランディングページ フィッシング 銀行、メールプロバイダー、ソーシャルメディアの認証情報収集 マルウェアの拡散 ローダーの配信、ランサムウェアの展開、ドライブバイダウンロード Eコマースにおける不正行為 偽の店舗、偽造品、決済カードのスキミング 出会い系詐欺 恋愛詐欺、セクストーションのランディングページ、偽のプロフィール ギャンブル詐欺 無許可のカジノ、不正操作された賭けプラットフォーム、入金の横領
方法論に関する注記 各パネルは、分類される前に、少なくとも2つの独立した検出手法によって検証されました。誤検知は手動で再確認され、除外されました。1,565件という数字は、確認済みの稼働中のKeitaroインストール数のみを表しています。追加の保護層の背後に存在するものを含めた実際の導入数は、間違いなくこれよりも多いでしょう。
刑事事件の依頼人名簿 TDS Keitaroは、単なる小規模な詐欺師だけが利用しているわけではありません。これは、世界で最も危険なサイバー犯罪組織のいくつかが、隠蔽手段として好んで利用しているインフラです。以下に、確認されている利用組織を挙げます:
EvilCorp 制裁対象となっているロシアのサイバー犯罪組織は、Keitaroを利用して国際的な制裁を突破している。EvilCorpは、Keitaroのトラフィック分散の陰に自らの活動を隠すことで、組織を摘発するために設けられたセキュリティ対策を巧みに回避している。Keitaroを経由するクリックの1つ1つが、Apliteni OUのソフトウェアによって可能にされた制裁違反である。
LockBitランサムウェア LockBitランサムウェアグループは、マルウェアの配布にKeitaroを活用し、その偽装機能を利用して、本来の標的のみにランサムウェアのペイロードが届くようにしつつ、セキュリティサンドボックスや研究者には無害なコンテンツが表示されるようにした。Keitaroは、史上最も破壊的なランサムウェア攻撃の1つにおいて、その威力を倍増させる役割を果たした。
VexTrio 現在知られている中で最大のケイタロの顧客。VexTrioは 60以上のアフィリエイト および制御 86,832件以上のドメイン 、これらすべてがケイタロの配信エンジンを通じてトラフィックを誘導している。この単一の運用が、インターネット上の悪意ある広告トラフィックの大部分を占めており、ケイタロはそれを目立たなく保つための中核的存在である。
ClearFake ClearFakeは、侵害されたウェブサイトに偽のブラウザ更新プロンプトを挿入し、被害者が「更新」をクリックするとマルウェアを配信します。Keitaroのクローキング機能により、悪意のあるオーバーレイが表示されるのは実際の訪問者のみとなり、セキュリティスキャナーには元のクリーンなウェブサイトが表示されます。その結果、検出率がほぼゼロに近い状態でマルウェアを配信することが可能になります。
FakeBat FakeBatは、悪意のある広告キャンペーンを通じて拡散されるマルウェアローダーです。Keitaroは、広告トラフィックを判断エンジン経由でルーティングします。これにより、セキュリティツールは正規のソフトウェアダウンロードページにリダイレクトされる一方、実際のユーザーにはトロイの木馬化されたインストーラーが配信されます。Keitaroにより、FakeBatのマルウェア広告キャンペーンは、広告プラットフォームのセキュリティチームからは事実上検知されなくなります。
ドッペルゲンガー 「ケイタロ」を利用して西側のソーシャルメディア上でプロパガンダを拡散する、ロシア政府系による偽情報キャンペーン。ケイタロの地理的およびデバイスのフィンガープリント機能により、コンテンツモデレーターやファクトチェッカーには、ターゲット層とは異なるコンテンツが表示されるようになっている。エストニア製の商用ソフトウェアを駆使した情報戦である。
「過去18か月間に私たちが捜査した主要なサイバー犯罪事件のすべてから、ケイタロの痕跡が見つかりました。これは偶然ではありません。犯罪者たちの間で、これが業界標準となっているのです。」
— PhishDestroy リサーチチーム
7つのポイントからなる検出手法 今回の調査を通じて、PhishDestroyはKeitaro TDSの展開を特定するための7つの独立した手法を開発しました。各手法は、Keitaroが残す異なるフィンガープリントを対象としており、これらが組み合わさることで包括的な検知フレームワークを形成しています。このフレームワークは現在、オープンソースツールとして公開されています。
1. /click_api/v3 エンドポイント クリックイベントを処理するためのKeitaroの中核となるAPIエンドポイント。このパスはソフトウェアにハードコードされており、すべてのインストール環境に存在します。このエンドポイントを調査することは、Keitaroの導入を確認する最も迅速な方法です。このパスに対して200または302のレスポンスが返されれば、ほぼ確実にKeitaroの導入が確認できます。
2. _lp / _token / _subid URLパラメータ Keitaroは、リダイレクトの連鎖中にURLに固有の追跡パラメータを追加します。その _lp このパラメータはランディングページを特定するもので、 _token セッション認証を行い、かつ _subid サブアフィリエイトの参照元を追跡します。これらのパラメータはKeitaroに特有のものであり、正規のトラフィック管理システムではめったに見られません。
3. ケイタロ専用のクッキー Keitaroは、訪問者のセッションを追跡し、クローキング状態を維持するために、独自のクッキーを設定します。これらのクッキーは、標準的な分析プラットフォームとは異なる命名規則に従っているため、ブラウザの検査や自動化されたクッキー分析を通じて特定することが可能です。
4. レスポンスヘッダーのパターン ケイタロのサーバーからの応答には、特定のキャッシュ制御ディレクティブ、カスタムヘッダー、および標準的なWebサーバーとは異なるサーバー識別文字列など、特徴的なHTTPヘッダーのパターンが含まれています。これらのヘッダーは、運用者が設定をカスタマイズしようとしても残ったままになります。
5. JavaScriptによるリダイレクトの連鎖 Keitaroは、詐欺ページを表示するか、正常なページを表示するかを決定する前に、訪問者のフィンガープリントを評価するため、多段階のJavaScriptリダイレクトを実装しています。これらのリダイレクトチェーンは、特定の変数名、タイミングの順序、評価ロジックといった予測可能なパターンに従っており、静的および動的なJavaScript解析によって検出することが可能です。
世界のヒートマップ:世界中で1,565枚の「Keitaro TDS」パネルが検出され、正当な用途は0件確認された 6. ドメインパターンの分析 Keitaroの運営者は、予測可能な命名規則や登録パターンに従ってドメインを登録する傾向があります。ドメインの一括分析を行うと、WHOISデータ、登録日、ネームサーバーの設定、ホスティングプロバイダーが類似したドメインのクラスターが明らかになり、これらはすべて、組織的なKeitaroの展開を示唆しています。
7. 管理パネルのフィンガープリンティング Keitaroの管理パネルは既知のパスからアクセス可能であり、特徴的なHTML構造、CSSクラス名、およびJavaScriptファイルを返します。管理者がデフォルトのログインURLを変更した場合でも、パネルのフロントエンドフレームワークは識別可能な痕跡を残しており、パス列挙やコンテンツフィンガープリントによって検出される可能性があります。
多層防御 完璧な検出方法は一つもありません。熟練した攻撃者は、個々の指紋を無効化したり改変したりする可能性があります。そのため、7点法は多層的なシステムとして機能します。たとえ攻撃者が3つや4つの指紋を排除したとしても、残りの検出方法によってその展開は依然として検知されるのです。 当社のテストでは、すべての「Keitaro」パネルが、7つの手法のうち少なくとも4つによって検出可能でした。
世界のインフラマップ 1,565個のKeitaroパネルは、安価なVPSプロバイダーや、不正利用への対応が遅い法域を優先したグローバルなホスティングインフラストラクチャに分散配置されています。パネルの設置場所は以下の通りです:
地域 ホスティングプロバイダー 注記 アメリカ合衆国 DigitalOcean、Vultr パネルの集中度が最も高い。米国を拠点とするホスティングサービスは、北米の被害者に対して迅速な対応を実現する。 オランダ 各種VPS ヨーロッパ向けのキャンペーンで人気があります。ホスティングポリシーが寛容です。 ドイツ ヘッツナー、その他 EUを標的としたフィッシングや電子商取引詐欺の主要な拠点。 ロシア さまざまな防弾 多くの事業者の拠点となっている。不正利用への対処を一切行わないホスティングプロバイダー。 イギリス さまざまなクラウド 英国の金融機関や政府機関を標的とするために使用されている。 香港 Femoクラスター アジアを標的とした仮想通貨詐欺に関連する、特徴的なパネル群。「Femoクラスター」は、組織的に連携したグループとして活動している。
米国の優位性 米国には、主にDigitalOceanやVultr上に、Keitaroパネルが最も多く集中しています。これらは、不正利用の報告に対応している主要なクラウドプロバイダーですが、デプロイの件数や、運用者が新しいインスタンスを立ち上げるスピードが速すぎるため、不正利用対策チームは常に後手に回っている状態です。
フェモ・クラスター 香港のインフラを利用して運営され、アジア市場を標的とした仮想通貨詐欺やギャンブル詐欺を行う、ケイタロのパネルからなる明確なクラスター。「フェモ・クラスター」は、単一の運営者または組織的なグループが数十のパネルを同時に管理していることを示唆する、協調的な展開パターンを示している。
AWSバックエンド フロントエンドパネルがどこでホストされているかに関わらず、Keitaroのコアデータストレージは Amazon Web Services (AWS) 。つまり、数百万人にのぼる可能性のある詐欺被害者の訪問者フィンガープリント、リダイレクトログ、ターゲティングデータが、Amazonのインフラ上に保存されていることになる。データの保存期間が最大9.75年に及ぶため、AWSは現存する最大規模の詐欺被害者データベースの一つをホストしていることになる。
オープンソースツールのリリース この調査と並行して、PhishDestroyは完全なオープンソースの検知ツールキットを公開しています。すべてのツールは無料で、APIキーも不要であり、すぐに導入可能です。1,565件のパネルからなる完全なデータセットも含まれています。
検知、通報、解体 Keitaro TDSパネルの検出方法 — フィンガープリント解析手法 TDSのトラフィックフロー — 悪意のあるパネルが被害者をリダイレクトする仕組み TDSのケイタロは、詐欺を存続させている目に見えないインフラです。皆さんが報告するすべてのパネル、検知したすべての事例、共有するすべてのデータセットが、このエコシステムの解体に役立ちます。ツールを活用し、データを共有し、発見したことを報告してください。
#KeitaroTDS #TrafficDistribution #Malvertising #ScamInfra #Investigation