詐欺師はハッカーではない:4つのバックエンドを徹底分析、いずれも簡単に侵害された
Firebase · Supabase · Express.js · Drainer-as-a-Service · 2026年2月

免責事項:これは分析であり、攻撃ではありません
この記事で紹介されている内容はすべて、 受動的分析と一般に公開されているデータ. システムへの侵入は一切ありませんでした。認証の迂回も発生しませんでした。いずれの場合も、詐欺師たち自身の設定ミスが原因で、彼らのインフラ、被害者のデータ、および運用上のIDが、単に覗き見るだけで誰でも確認できる状態にさらされていたのです。すべてのAPIキーは、公開されているJavaScriptバンドル内に含まれていました。 すべてのデータベースは、運営者自身の設計によって完全に開放されていた。私たちがこれを記録するのは、攻撃するためではなく、あなたの暗号資産を盗んでいる者たちが 自分の道具さえきちんと管理できない.
中心的な論点:盗んだツールを使うスクリプトキディたち
一般の人々の間には、オンライン詐欺師とは「ハッカー」――つまり、高度な技術と巧妙な手口でシステムに侵入する技術の達人――であるという根強い誤解が広まっている。 これは間違っています。
現代の仮想通貨詐欺師たちは 購入したツールキットを使うスクリプトキディ。彼らは200~500ドルの「Drainer-as-a-Service」パッケージを購入し、無料または安価なホスティング環境に展開して、被害者に気づかれないことを祈るだけだ。彼らはコードを書かない。ネットワークのことも理解していない。ましてやセキュリティについては、言うまでもなく理解していない。
このことがわかっているのは、2026年2月にPhishDestroyが分析を行ったためである 4つの独立した詐欺組織 — そして、どのケースにおいても、私たちはこうすることもできたはずだ:
- 盗まれた被害者データをすべて読み込む (シードフレーズ、メールアドレス、IPアドレス、ウォレットの種類)
- 変更または削除 詐欺師のデータベース
- オペレーターを特定した 公開されたAPIキー、メールアドレス、およびインフラストラクチャのフィンガープリントを通じて
- 詐欺師に対する攻撃を再現した — 彼らが放置していたのと同じ脆弱性を悪用して
エクスプロイトも不要。ゼロデイも不要。「ハッキング」も不要。ただ 鍵をかけずに置いていった玄関のドアを開けて.
事例 1:ファントム API — server0002.mn19indexpre.xyz
Apache上のExpress.js、実質的なセキュリティ対策は皆無
| パラメータ | 値 |
|---|---|
| ドメイン | server0002.mn19indexpre.xyz |
| IPアドレス | 108.181.185.225 |
| サーバースタック | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| SSHバナー | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| TLS発行者 | Let's Encrypt (E7)、有効期間:2026年1月~4月 |
| DNSレジストラ | GoDaddy (ns39/ns40.domaincontrol.com) |
| 電子メール (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Microsoft テナント | NETORGFT19090185.onmicrosoft.com |
| 開いているポート | 22 (SSH)、80 (HTTP→301)、443 (HTTPS) |
「認証」――冗談だ
このAPIには、ハードコードされたBearerトークンが付属しています: thisisakeyforsecureserver。でも、ここが肝心なところだ―― トークンは実際には検証されていない:
ゼロ入力検証
テストしたすべてのインジェクションペイロードは、何の警告もなく受け入れられました:
パフォーマンス・フィンガープリント
ペイロードのサイズ(10バイトから10MBまで対応)にかかわらず、POSTのリクエストに対する応答時間は一貫して約7.5秒であり、バックエンドでメール転送またはWebhookの中継が行われていることが示唆される。GETのリクエストに対する応答時間は0.6秒である。10件の並列リクエストは9.1秒で完了し、レート制限は適用されていない。
匿名化解除の可能性
Microsoft 365 テナント ID NETORGFT19090185 は 組織アカウントへの直接リンク このドメインを登録したのは。GoDaddyの登録記録や専用IP(CDNの背後ではない)と合わせると、この運営者は 容易に特定できる 法的な手続きを通じて。SPFレコード(include:secureserver.net) によると、GoDaddyのメールホスティングサービスでは、すべてのメールのメタデータが召喚状によって開示可能であることが確認された。
事例 2:Firebase のセキュリティが完全に無防備 — web3ledgar.com
セキュリティルールが一切ない Firestore
| パラメータ | 値 |
|---|---|
| フィッシングドメイン | web3ledgar.com (「Ledger」のタイポスクワット) |
| 代替ドメイン | web3.ledgerscore.ltd |
| Firebase プロジェクト | web3ledger-210ab |
| APIキー | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| アプリID | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| JSバンドル | /static/js/main.7a5ec2fa.js |
| Firestore ルール | 完全に開放 — 認証なしの読み取り/書き込み |
| 被害者の総数 | 12件のレコードが users コレクション |
| 見つかったコレクション | users, transactions |
被害者データ — 誰でも自由に閲覧可能
Firestore REST API への認証されていない単一の GET リクエストにより、以下の結果が返されました 盗まれたすべてのシードフレーズ:
12件の記録の中には、ある示唆に富む項目があった――誰かがすでにこのシステムをテストしていたようで、 fbi@fbi.gov そのメールのように。詐欺師は、自身のシステムをテストしていた(身元特定に役立つ)か、あるいは誰かがすでにそのシステムを調査していたかのどちらかだ。
攻撃の流れ
このフィッシングサイトは、Ledgerのウォレットのインターフェースを模倣しています。被害者が「ウォレットを接続」をクリック → シードフレーズを入力 → ReactのフロントエンドがFirestoreに直接書き込み → 詐欺師が、その公開されたデータベースから情報を読み取ります。 バックエンドサーバーは一切ありません。 このシステム全体は、Googleの無料プランで稼働しています。
匿名化解除の可能性
Firebase プロジェクト ID web3ledger-210ab およびApp ID 1:1054258933515 は Googleアカウントに紐付けられている. Googleは、すべてのFirebaseプロジェクトについて、課金記録、IPログ、およびアカウント作成データを保持しています。法執行機関からGoogleに対して1件の照会が行われるだけで、運営者の身元が明らかになります。さらに、Firestoreのルールが完全に開放されているということは、 そのデータベースに記録を書き込むこともできたはずだ、被害者にリアルタイムで通知したり、コレクション全体を消去したりした。
事例 3: Supabase による完全な CRUD — web3safe-pal.com
行レベルのセキュリティが無効、GraphQLは完全に開放されている
| パラメータ | 値 |
|---|---|
| フィッシングドメイン | web3safe-pal.com (「SafePal」のタイポスクワット) |
| Supabase プロジェクト | gzqsadraigchwdhblavp |
| Anon Key | 掲載先: /assets/index-b025f4a6.js (748 KB) |
| データベーステーブル | seeds — 読み取り、挿入、更新、削除 |
| GraphQL | 完全なイントロスペクションと変異が有効 |
| エッジ関数 | send-wallet-import-email, send-email |
| メールサービス | APIの再送信(環境変数 RESEND_API_KEY) |
| 被害者記録 | ID 130~131(129は以前に削除済み) |
| UIの言語 | ロシア語(「メインウォレット」、「ウォレットを読み込んでいます...」) |
データベースへの完全なアクセス権 — 読み取り、書き込み、削除
ミニファイされたJavaScriptバンドルに含まれるSupabaseのanonキーは、以下の権限を付与します 完全なCRUDアクセス ~へ seeds 表:
IDは130から始まります — つまり、レコード1~129は、以前にオペレーターによって削除されていた。少なくとも131個のシードフレーズがこのシステムを通過している。
エッジ機能:メールの履歴
2つのSupabase Edge Functionsがアクティブになっています。私たちはこれをリバースエンジニアリングして、 send-email ペイロードをテストして、関数の期待される入力形式を確認する:
API キーの再送信(RESEND_API_KEY) は Supabase の環境変数に保存されます。Resend は送信者の認証記録と課金データを管理しており―― 演算子の正体を突き止めるもう一つの直接的な方法.
匿名化解除の可能性
ロシア語版のUIローカライズ(「Основной кошелек」、「Ваш кошелек загружается...」)からは、 ロシア語対応のオペレーター. Supabaseプロジェクト(gzqsadraigchwdhblavp) は、請求記録のあるアカウントに関連付けられています。「メール再送信」サービスには、受信者のメールアドレスが登録されています。GraphQLによるイントロスペクションにより、データベースのスキーマ全体が明らかになりました。私たちは完全な書き込みアクセス権を実証しました―― 盗まれたシードフレーズをすべて、被害者への警告メッセージに置き換えることもできたはずだ、あるいはテーブル全体を削除してしまった場合、オペレーターにはデータを復元する方法が一切ない。
事例 4:工業用排水装置 — aipolypredictor.xyz
5.8日間で19,000のシードフレーズ
| パラメータ | 値 |
|---|---|
| フロントエンド領域 | aipolypredictor.xyz (「PolySniper | フロントラン・インサイダー・ベッツ」) |
| C2 API | api.yfhikblkhghdyteiuyf54.run |
| C2 IPアドレス | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| バックエンド | Express.js (Node.js) v1.0.0 |
| レジストラ(フロントエンド) | NiceNIC International Group Co. |
| 登録担当者(C2) | PDR Ltd. (PublicDomainRegistry.com) |
| 稼働時間 | 約139時間(開始:2026年2月10日 21:00 UTC頃) |
| ドレーナーキット CDN | renderer-postcard.defex.cc (601 KB の難読化された JavaScript) |
| Telegramボット | アクティブ、通知機能と連携済み |
| レート制限 | 10リクエスト/60秒(確認された制限はこれのみ) |
連番IDによって明らかになった規模
最も致命的な過ち: 連続したジョブID. シードフレーズを送信するたびに連番のIDが返されるため、誰でも総取引量を算出することができます:
マルチチェーンアーキテクチャ
C2サーバーは、深さ100の導出パスを使用して、すべての主要チェーンにわたって鍵を導出します:
キャンペーンのインフラ
2つの事業者グループにまたがる、Bundle IDで追跡された11の確認済みドメイン:
| バンドルID | ドメイン | ステータス |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | ライブ |
4446ea5d... | solana.onspace.app、solxjup.onspace.app | ライブ |
| defex.cc キット | jup-v2.com、events-charizard.fun、events-llquid.fun、events-blackswan.fun、soljup.onspace.build | 混合 |
JavaScript ペイロードの分析
3つの難読化されたJSペイロードが、ドレイナーに配信される:
- wallet-connect.js (46 KB) — ウォレット接続のUIを処理し、シードの入力を傍受する。文字列配列のローテーションによる難読化。
- wallet-specific-modals.js (134 KB) — 以下の内容が含まれています BIP39の完全な英語単語リスト そして Moneroのワードリスト (1,626語)。console.log/traceの上書きによるデバッグ対策。マルチウォレットモーダルのサポート。
- defex.cc/index.js (601 KB) — 中国語の変数名を用いたUnicode難読化処理が施されています。Solana専用のドレイナーロジック。Base58エンコーダー、暗号鍵導出プリミティブ。バージョン 3.0.0。
匿名化解除の可能性
その CORS: * ヘッダーと認証手段の欠如 誰でもリクエストを送信したり、ジョブIDの増加状況を確認したりできます リアルタイムで。Telegramボットとの連携により、オペレーターのTelegramアカウントに通知が届くほか、Telegramのメタデータは召喚状によって開示を求められる可能性があります。NiceNIC(フロントエンドのレジストラ)は、私たちが 以前に調査された、しかし PDR Ltd.(C2ドメイン登録事業者) 法執行機関からの要請には応じている. その defex.cc drainerキットは255以上のドメインで利用されている――defex.ccが侵害されれば、DaaS事業全体とその顧客すべてがさらされることになる。
並べて比較:4つの操作、同じパターン
| メートル法 | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor ドレイナー C2 |
|---|---|---|---|---|
| 認証 | なし(トークンは無視されます) | なし | JSにおけるAnonキー | なし (CORS: *) |
| データが読み取り可能 | メッセージ/中継 | すべてのシードフレーズ | すべてのシードフレーズ | 求人ID/規模 |
| データ書き込み可能 | はい(無制限) | はい | はい(完全なCRUD) | はい(送信) |
| 入力の妥当性チェック | ゼロ | ゼロ | ゼロ | ミニマル |
| レート制限 | なし | なし | なし | 60秒あたり10リクエスト |
| 匿名化解除可能 | MS365テナント | Googleアカウント | 再送信 + Supabaseの請求 | PDR + Telegram |
| 推定犠牲者数 | 不明 | 12 | 131+ | 19,000+ |
| オペレーター言語 | 不明 | 英語 | ロシア語 | 不明 |
なぜ詐欺師はハッカーではないのか
その証拠は圧倒的です。4つの作戦すべてにおいて、同じパターンが見られます:
- 既製の水切りキットを購入する(200~500ドル)
- 無料プラン(Firebase、Supabase)でのデプロイ
- デフォルトの設定は変更しないでください
- 検証されないハードコードされたトークンを使用する
- RLSを有効にしたり、CORSを制限したりしてはいけません
- メタデータに自身の身元を明かす
- その規模がわかるような連番のIDを使用する
- カスタム情報漏洩ツールを作成する
- 暗号化および認証済みの通信経路を使用する
- 識別子のランダム化、インフラのローテーション
- 適切なアクセス制御を実施する
- Torやプロキシチェーンの利用、匿名決済
- 運用上のIDとホスティングを分離する
- フォレンジック対策技術を導入する
「Drainer-as-a-Service」の平均的な顧客は、 クレジットカードを持ったソーシャルエンジニア、技術的なオペレーターではありません。彼らはドメインの登録方法や、ホスティングパネルにコードを貼り付ける方法を知っています。しかし、以下のことはできません:
- Firestore のセキュリティルールを設定する(所要時間:2分)
- Supabaseの行レベルセキュリティを有効にする(所要時間:5分)
- 入力の検証とサニタイズ(所要時間30分)
- 連番の整数の代わりにUUIDを使用する(コードは1行で済む)
- CORSを自ドメインに限定する(設定は1行で済む)
これらは、高度な能力を持つ敵ではない。 これらは、データベースの設定ができない人たちです。
侵害の兆候(IOC)
ドメイン
IPアドレス
APIキーとプロジェクトID
結論:『皇帝の新しい服』
要点
私たちが分析したすべての詐欺手口は、 完全に侵害され、匿名性が解除され、機能停止に追い込まれた ウェブブラウザ、curl、そして公開されているドキュメントだけを利用して。いずれの場合も、攻撃者はデータベースを無防備なままに放置し、APIキーを公開されているJavaScriptファイル内に残し、自身の身元情報をメタデータに明記し、被害者のデータを、わざわざ調べようとする者なら誰でもアクセスできる状態にしていた。
その教訓は単純です: 詐欺師はハッカーではない。彼らはAliExpressでピッキングセットを購入したにもかかわらず、自宅の玄関の鍵をかけるのを忘れてしまった万引き犯のようなものだ。彼らが使用するツールは洗練されている――それは、誰かが代わりに作ってしまったからだ。運営者自身は素人であり、基本的な技術知識さえあれば誰でも、自分たちのインフラや被害者のデータ、さらには自身の身元を容易に暴いてしまう。
もしこれらのサイトのいずれかでシードフレーズを入力してしまった場合は、ウォレットが乗っ取られたと想定し、直ちに資金を移してください。
すべての調査結果は、関連するサービスプロバイダー(Google/Firebase、Supabase、Cloudflare、ドメイン登録業者)に報告され、法執行機関向けに記録として残されています。上記のIOCは、 PhishDestroy 削除リスト.


