シード・フラッディング:なぜPhishDestroyは公然と行うのか
「攻撃」フィッシングサイト
私たちはそれを隠したりはしません。PhishDestroyが、暗号資産ウォレットのシードフレーズを収集しているアクティブなフィッシングサイトを検知すると、そのサイトに有効な形式のシードフレーズを大量に送り込みます。ここでは、私たちが具体的に何を行っているのか、なぜそうするのか、そしてなぜそれを恥じたりしないのかについて説明します。

問題:現在、フィッシングサイトが稼働中
Googleの有料広告を掲載している仮想通貨ウォレットのフィッシングページを見つけたと想像してみてください。そのページは一見、本物のように見えます。アクセスもあり、数分おきに実際のユーザーがそのページにアクセスし、シードフレーズを入力して、すべての資産を失っています。
Googleに報告します。レジストラに報告します。ホスティングプロバイダーに不正利用の報告を提出します。 そして、待つのです。
その間、詐欺師は47人目の被害者を狙い、続いて48人目、そして49人目を狙う。
標準的な不正利用報告の処理プロセスは、5~10営業日という時間軸で運用されています。一方、稼働中のフィッシングサイトは、わずか数時間で取り返しのつかない金銭的損害をもたらします。この時間差はシステムの不具合ではなく、詐欺師たちが意図的に悪用する構造的な脆弱性なのです。

「シード・フラッディング」とは何か?
「シード・フラッディング」とは、フィッシング対策の手法の一つであり、 有効な形式だが、空または無意味 仮想通貨ウォレットのシードフレーズは、制御されたペースで自動的にフィッシングフォームに入力されます。

なぜこれが機能するのか:安価なフィッシングキットの仕組み
現在稼働中の暗号資産フィッシングサイトの圧倒的多数は、以下を基盤として構築されたコピー&ペースト型キットであり、 無料プランのサードパーティ製サービス. これが彼らの最大の弱点だ。より詳細な分析については、以下を参照のこと。 我々の徹底的な調査.

| モジュール | 無料プランの制限 | 洪水の影響 |
|---|---|---|
| EmailJS | 月あたり約200件の投稿 | 数時間でリソースが枯渇し、メールの配信が停止する |
| Formspree | 月50件の投稿 | ほぼ即座に機能しなくなった |
| Web3Forms | 月間250件の投稿 | 急速に中和された |
| TelegramボットAPI | 1秒あたりのレート制限 | タイムアウトループに陥った |
| Firebase 無料プラン | 読み取り/書き込みのクォータ | データベースのコストが急騰するか、利用できなくなる |
シードフラッディングによって通知Pipelineが飽和状態になると、フィッシングインフラが稼働を停止する様子を、我々は直接確認しました。詐欺師たちは、なぜ動作しなくなったのか分かりません。単にデータの受信が途絶えるだけです。
当社の技術的アプローチ:ボットネットではなく、Cloudflare Workers

当社では Cloudflare Workers. リクエストはCloudflare独自のエッジネットワークから発信されます。一般ユーザーのIPアドレスの悪用はありません。ボットネットも使用されていません。サードパーティのサーバーに負荷がかかることもありません。影響を受けるのは、詐欺師のデータ収集システムのみです。
洪水の流れ
レート制限: 厳格な 2 submissions per 10 seconds. DDoS攻撃ではない。数十の標的を同時に狙い、サイトごとの感染率がさほど高くなくとも、その規模の大きさゆえに意味を持つような、緩やかで意図的かつ標的を絞った汚染である。
私たちはサーバーをダウンさせようとしているわけではありません。詐欺師たちの仕事を台無しにし、彼らのデータベースを無価値なものにしているのです――しかも、正当なインフラには一切の巻き添え被害を与えずに。
実例紹介:実践における汚染管理
以下の操作は、当社の運用ログからそのまま引用したものです。ドメインおよびプロバイダー識別子は、公開することで回避を助長する恐れがある場合に限り伏せ字にしています。HTTP通信のキャプチャデータは一切改変されていません。両ターゲットとも介入時点で稼働しており、有料広告からのインバウンドトラフィックが確認されており、それぞれ独立して次のように分類されていました。 フィッシング 著者: VirusTotalに登録されている外部ベンダーが2社以上 当社が何らかの措置を講じる前に。
作戦教義
すべてのシード・フラッディング作戦は、同じ5つの原則の範囲内で実行されます。例外は一切ありません。5つの原則すべてを満たせない作戦は実施されません。
事例 1 — Formspark Exfil Endpoint、月間クォータを使い果たしました
checkblochn.pages.dev 中和された脅威の傾向: ウォレット復旧を装ったフィッシング(「Dapp Node Sync」)により、12語のBIP-39シードフレーズが、フリーティアの攻撃者管理下のFormsparkエンドポイントへ流出していた。エンゲージメント開始時点で、2つの広告プラットフォームからの有料広告トラフィックが確認された。
message運用タイムライン(UTC、エンゲージメントのT-ゼロ時点に合わせて匿名化済み)
submit-form.com/32BrdUqfX ページJSから抽出。ペイロードの形状をリバースエンジニアリングした。 分析2 req / 10 s、単一のCloudflare Worker、特定されたUA文字列、署名付きオリジン。200 OK ~と formspark-quota: 64. ベースラインを取得しました。formspark-quota ゼロを横切る → エンドポイントが何の前触れもなく転送を停止する。 水切りブラインドformspark-quota: −18. 洪水対策従事者が解雇された。送信が送信中(シードは単なる見せかけのものであり、実際のウォレットとは無関係な12個のランダムなBIP-39ワードです)
応答 — T+01:02(基準値、割り当て残量あり)
応答 — T+06:12(クォータ上限に達したため、エンドポイントは200を返し続けるが、転送は行わない)
目に見える効果。 T+06:08からT+19:30の最終テイクダウンまで — a 13時間22分の時間枠 — 連絡を取ることができたすべての真の被害者 checkblochn.pages.dev そして、復旧フローを完了し、シードフレーズをエンドポイントに送信したところ、そのエンドポイントからは 200 OK しかし、ペイロードをオペレーターの受信箱に転送することはなくなった。フィッシングページは 現れた 被害者のブラウザ上で正常に動作すること(エラーも警告も表示されないこと)が望ましい。というのも、反射的に「うまくいかなかった」と反応してしまうと、ユーザーは次に目にする偽サイトに同じ認証情報を再入力してしまうことが多いからだ。ここで、そのやり取りは オペレーターが視界を遮られた状態で終了した.
有料広告が依然として積極的に配信されていたサイトへの、その後のすべての訪問者に対して、13時間の保護期間が設けられました。この保護期間は、Cloudflare Pagesが当社の並行処理による不正利用報告に対応した時点で終了しました。これはまさに設計通りの動作でした。このトラフィックの急増は、正当な削除措置に取って代わるものではなく、その間の空白を埋めるものでした。 ~まで 正当なテイクダウンが決まった。
事例 2 — EmailJS Relay、オペレーターが発行する識別子
allsyncapp.pages.dev 稼働中脅威の傾向: ウォレットの「同期」を装った手口で、被害者が入力したシードを、以下の方法を通じて運営者のメールボックスに送信する EmailJS — 正規のトランザクションメール用SaaS。このフィッシングページには、運営者の service_id, template_id そして user_id クライアントサイドのJavaScriptにおいて、これらの識別子がなければ、被害者のブラウザはメール送信をトリガーするPOSTリクエストを完了できないためです。 したがって、これらの識別子は、オペレーターが自発的に公開した公開攻撃対象領域の一部である。
キャプチャされた送信データ — フィッシングページ自身のPOSTリクエストからそのまま引用したペイロードの内容
識別子の抽出(フィッシングページのソースコードに対する1行の正規表現)
教義上の重要なポイント。 この事例が参考になるのは、まさに……だからである。 当社ではエンドポイントを特定できませんでした. 演算子 発行する EmailJSにシードをメールボックスへ送信させるために必要な3つの識別子。フィッシングページを表示するブラウザであれば、どれでもこれらを保持しています。私たちのWorkerは、被害者のブラウザと同じ動作を行います。つまり、ページ自体が指示する通りの形式と識別子を含むフォームを送信するのです。違いはペイロードにあり、実際のウォレットの認証情報ではなく、ランダムなBIP-39の単語が使用されます。
結果の傾向。 月間上限に達すると、EmailJSは 402 Payment Required または 429 Too Many Requests すると、テンプレートは送信されなくなります。詐欺師のメールボックスは静まり返ります。これと並行して、EmailJSのトラスト&セーフティ部門には、サービス/テンプレート/ユーザー識別子と、当社が公開した証拠資料へのリンクが記載された正式な苦情が寄せられます。これまでの事例によれば、これにより、当該運営者のEmailJSアカウントは 終了した、レート制限はかかりません。運用担当者は、新しいEmailJSアカウントを取得し、識別子を再生成し、デプロイ済みのフィッシングページを編集し、既存の配布リンクをすべて無効化する必要があります。これは、ローテーションごとに数時間を要する作業です。
攻撃プロファイルの比較:シードフラッディングとは何か、そうでないもの
「フィッシングサイトに対して『攻撃』を行っている」という非難が繰り返し寄せられています。しかし、実際のトラフィックのプロファイルと、それが見間違えられている活動のプロファイルを並べて比較すれば、そのような見方はたちまち崩れ去ります。
| 次元 | 種まき後の水浸し(当社) | DDoS / L7フラッド | スパム投稿の悪用 | LEの潜入捜査 |
|---|---|---|---|---|
| 目的 | 被害者保護 — 次の被害者が現れる前に、詐欺師の「情報流出」ノルマを満たす | インフラストラクチャに対するサービス拒否攻撃 | 商業的利益/メッセージの拡散 | 証拠の収集、制御された欺瞞 |
| スループット | 0.1 ~ 0.3 req/s — 以下 プロバイダーの利用規約 | 103 – 108 req/s — 飽和重視 | バースト/自動大量処理 | 単一の相互作用では通常、 |
| ターゲット | 単一のエンドポイントから情報を持ち出した攻撃者が公開した | 被害を受けた組織のWebサーバー/ネットワーク層 | 正規サイトの問い合わせフォーム | 不審なインフラストラクチャまたは人物 |
| インフラへの影響 | なし — プロバイダーのカウンターは、利用規約で定められた範囲内で正常に動作している | サービス停止、上流側の輻輳 | 受信トレイの肥大化、CAPTCHAの変質、モデレーションの負担 | 操作によって異なります |
| 影響を受けた正当なユーザー | ゼロ — フィッシングフォームには正当なユーザーはいない | それらすべて | フォームの所有者である従業員/モデレーター | 設計段階での回避策 |
| 本来のアイデンティティ | 「PhishDestroy Cloudflare Workers」と名付けられた — 監査可能 | ボットネット、送信元偽装、リフレクション | 使い捨てプロキシ | 機密インフラ |
| 承認モデル | エンドポイントは 招待された: フォームがこの入力を明示的に要求しており、識別子がページ内で公開されている | なし — 要求の量そのものが問題である | 本来の用途を迂回し、不正利用防止シグナルを無視する | 法的権限 |
| 並行して行われる適法な措置 | 虐待の通報が寄せられた 以前 floodの開始、ケースID付き | 該当なし | 該当なし | 業務に組み込まれている |
「シード・フラッド」攻撃とは、署名済みのオリジンを含む1つのCloudflare Workerから発信される、約140バイトの単一のHTTPS POSTリクエストであり、プロバイダー自身が許容範囲として公表しているレートのごく一部に相当する頻度で、オペレーターが公開Webページに埋め込むことを選択した識別子を持つエンドポイントを標的とするものです。つまり、それは 観察可能な遺物のすべて. リクエストを「攻撃」とみなすためのあらゆる構成要素――不正アクセス、リソース枯渇の意図、トラフィックによる飽和、影響を受ける第三者、発信元の隠蔽――はいずれも存在しない。以下に示す法的分析は、独創的な主張ではなく、 自然な 事実関係が明確に述べられた後の法令の解釈。
法的分析 — それは合法か?倫理的か?

一般公開されているWebフォームにデータを送信すること――たとえそれが偽のデータであっても――は、ほとんどの枠組みにおいて、それ自体が違法というわけではありません。私たちは、プライベートなシステムにアクセスしたり、許可されていない脆弱性を悪用したり、通信を傍受したりしているわけではないからです。 詐欺師は罠を仕掛けた。私たちはそこに石を詰め込んでいる。
PhishDestroyは法的助言を提供しているわけではありません。これは、管轄区域によって異なる、真のグレーゾーンに位置する問題です。当社は、この複雑さを十分に認識した上で運営を行っています。
詐欺師のデータベースはどうなるのか?
役に立たなくなってしまう — 何千件ものエントリを手作業で検証する必要があり、信号対雑音比が著しく低下する。あるいは 壊れる — Firebase Spark および共有 MongoDB インスタンスには厳格な上限が設定されています。これらの上限に達すると、何らかの影響が生じます。
どちらの結果も良い
データベースが 役に立たない または 完全に壊れる — 実際の被害者のシードフレーズが、攻撃者に有用な形で渡ることは決してありません。未処理のシードフレーズは、すべて資金が奪われることのないウォレットなのです。
シードフラッディングはいつ有効にするべきか?
| 基準 | 確認 | その重要性 |
|---|---|---|
| アクティブなトラフィックが確認されました | 必須 | 広告プラットフォームやトラフィック分析ツールにより、実際のユーザーがサイトにアクセスしていることが確認されます |
| フィッシングの手口の分析 | 必須 | トラフィックが殺到する前に、無料プランのデータ流出モジュールが特定された |
| 虐待の通報が寄せられた | 必須 | 私たちは常に、正当な手段を並行して追求しています |
| SLA期間内にダウンタイムが発生しない | 典型的な引き金 | レジストラ/ホスティング業者から妥当な期間内に返答がない |
| アクセス数の多い/有料広告掲載サイト | 即時トリガー | 有料広告とは、官僚的な手続きを待たずにすぐに行動することを意味します |
全体像
暗号資産エコシステムは損失を被る 年間数十億ドル フィッシングに対して。これまで、防御側は常に事後対応的な立場をとってきました。PhishDestroyは、 能動的な干渉 このサイクルへと。
私たちは闇の中で活動しているわけではありません。手法を公開し、技術について解説し、分析したフィッシングキットについても記録を残しています。セキュリティコミュニティは、単にブラックボックス的なサービスを利用するだけでなく、フィッシング対策手法を自ら評価する権利があるのです。

あなたにできること
- 報告先: Google セーフブラウジング, PhishTank、およびドメイン登録業者
- 弊社までご提出ください — アクセス数の多いアクティブな脅威を優先的に対応します
- 確認 当社の解剖学データベース 目の前のものを理解するために
- 意識を広める — ほとんどの被害者は、手遅れになるまで、シードフレーズを騙し取るフィッシングページがどのようなものか気づかない
もし、空っぽの財布を犯罪者に渡すことは非倫理的だとお考えなら――それはあなたの立場であり、そう考えるのは自由です。 私たちの立場はすでに明らかにしました。


