「テイクダウンの解剖学」:PhishDestroyがサイバー犯罪を阻止する仕組み
2019年の小さな取り組みから、40万件以上の悪意あるドメインを無力化する強力な存在へと成長したPhishDestroyの歩みは、コミュニティの力、テクノロジーの力、そして苦労の末に築き上げた評判の威力を物語っています。
オンライン詐欺との絶え間ない戦いにおいて、PhishDestroyは重要な戦力として台頭し、2019年の専用イニシアチブから、極めて効果的な活動へと進化を遂げてきました。 私たちの使命は明確です。フィッシングや詐欺のインフラを解体し、世界中のユーザーを保護することです。これは単に悪意のあるリンクをブロックするだけでなく、サイバー攻撃の仕組みを深く理解し、その根源を断ち切ることにあります。
私たちの進化:数週間から数分へ
PhishDestroyが活動を始めた当初、悪意のあるドメインを削除するには数週間を要することもありました。長年にわたり、私たちは成長を続け、強固な提携関係を築き、サイバーセキュリティ分野の主要な関係者からの信頼を勝ち取ってきました。私たちは常にフィッシング対策に鋭く焦点を当ててきたため、専門的なノウハウを培い、誤検知率を最小限に抑えることができています。
かつては数週間かかっていた作業も、今ではわずか数分で済むようになりました。このスピードアップは、私たちの絶え間ない革新と、築き上げてきた確固たる評判の証です。
テイクダウンの手順
1. 迅速な検出と検証
検出は、当社のシステムを通じてコミュニティからの報告によって行われます。 Telegramボット、自動監視、および脅威インテリジェンスのフィード。当社のチームは脅威を迅速に検証し、誤検知率を最小限に抑えています。
2. 詳細な分析と証拠の収集
当社のアナリストは、脅威を徹底的に調査し、その特徴、標的、手口を特定します。これには、ペイロードの分析、インフラのマッピング、被害への影響評価などが含まれます。あらゆる証拠は、綿密に記録されます。
3. 戦略的調整と行動
ここで、当社の評判が活きてきます。当社は、数百社に及ぶホスティングプロバイダー、ドメイン登録業者、法執行機関と強固な関係を築いてきました。PhishDestroyが報告を提出すると、 50以上のシステムが、私たちの要求を即座に認識しました. 通報されたサイトが実際にフィッシングサイトである場合、数分以内に閉鎖することができます。
4. 清算および監視
最終的な目標は、完全な削除です。テイクダウン手続きが開始されると、当サイトがオフライン状態になり、その状態が維持されていることを確認するため、状況を監視します。こうした取り組みの結果、以下のサイトの運営を阻止することに成功しました。 50万件以上の悪意のあるドメイン 2019年以降、撤去後の継続的な検証を行い、再出現したインフラを数時間以内に検知しています。
運用手法:自動化、正確性、規模
当社のモデルは、以下の要素を組み合わせています 地域からの報告 ~と 自動検知システム および精密な分析。このPipelineは、品質を損なうことなく、単一のレポートから1日あたり数千件のテイクダウンまで拡張できるように設計されています。
- 特注のパーサー SEO検索結果、スポンサー広告、Google広告を継続的にスキャンしてフィッシングの兆候を検出し、有料広告が初めて掲載されたその瞬間に脅威を捕捉します。
- 特定された脅威は自動的に以下に送信されます 50社以上のウイルス対策ソフトベンダー および脅威インテリジェンスのフィードを活用し、検知後数分以内にグローバルなブロック範囲を最大限に拡大します。
- 当社は 偽陽性率が0.5%未満、その数は 検証済みの報告10万件 — これにより、当社のシステムが単に高速であるだけでなく、極めて高い精度を備えていることが証明されています。
- 投稿を行う認証済み投稿者 100件以上の正確なレポート が付与される 「信頼できる」 ステータスにより、モデレーションなしでの直接投稿が可能となり、既知の通報者によるテイクダウンまでの時間が大幅に短縮されます。
- ライブ ダメージカウンター (平均的な仮想通貨詐欺の手口では、ドメイン1つあたり約15ドル)というドメインの平均価値とプロモーション費用に基づき、詐欺師たちに与えられた金銭的損失を推定する。
検知源 — 脅威が発生する場所
フィッシングのインフラは、隠れることはめったになく、むしろ自らをアピールしています。私たちは以下の場所から見込み客情報を収集しています:
- Telegramボットのレポート 当コミュニティより、以下を通じて @PhishDestroy_bot — 主な一般からの受付。
- SEOおよび有料広告のパーサー — Google Ads、Bing、Yandex;暗号資産ウォレット、取引所、ブリッジに関するスポンサーキーワードを継続的に監視しています。
- 脅威インテリジェンス・フィード パートナーや研究者の方々から提供されたものです。
- ハニーポットネットワーク また、詐欺師が盗んだデータを使用しようとすると、私たちに通知を送ってくれるシードフレーズ・カナリアトークンも用意されています。
- WHOIS および 証明書の透明性 保護対象のブランドを標的とした、新規登録された類似ドメインの監視。
証拠の保全 — 恒久的なデジタル記録
テイクダウンはあくまで第一歩に過ぎない。 証拠の保全は、私たちの最優先事項です — というのも、記録が残っていなければ、削除されたドメインは捜査当局にとって何の役にも立たないからだ。
- 検出されたすべてのドメインは 公共のスキャナーを通じてアーカイブ化された (urlscan.io、Wayback Machine、当社独自のスナップショットPipeline) を利用して、HTML、スクリーンショット、ネットワーク通信、JavaScriptのペイロードなど、サイトの完全なフィンガープリントを取得します。
- 各操作のたびに、 デジタル記録 攻撃者による削除の影響を受けないもの――以下に公開されている GitHub 削除リスト そして、その ScamIntelLogs アーカイブ.
- アーカイブには、詐欺師の管理画面、Telegramのチャット履歴のエクスポートデータ、決済フロー、被害者記録、IOCなどが含まれており、テイクダウン後も長期にわたり、犯行の帰属特定や起訴を裏付ける証拠として活用できます。
- 詐欺師たちが痕跡を消そうとする一方で、私たちはそれを永久に残す。
レジストラ間の味方と敵
テイクダウンまでの時間は、レジストラとホストの対応速度に完全に左右されます。当社のパートナーデータによると、その差は極めて顕著です:
- 協力パートナー:Namecheapの24時間365日体制の虐待対応チームだけで、これまでに 30,000件以上の悪意のあるドメイン. GoDaddy, Hostinger, Squarespace、および IONOS 確認済みの報告を受けてから数時間以内に、一貫して対応を行う。
- 持続的な推進要因:NiceNIC, コスモタウン, NameSilo、および Webnic 虐待の通報を繰り返し無視し、事実上、サイバー犯罪活動の「安全な避難所」となっている。当社の調査はこちらをご覧ください: NameSilo、Webnic、NiceNICがどのようにして世界的な詐欺を可能にしているか.
犯罪による報復 — 影響の確認
私たちの取り組みが実を結んだことで、組織的な反発を招きましたが、私たちはこれを「混乱」ではなく「影響力」の証と捉えています:
- DDoS攻撃 当社のインフラに対する攻撃(Cloudflareによって軽減された)。
- 組織的な中傷・テイクダウンキャンペーン 有料PR掲載を通じて(参照: 有料メディアがサイバーセキュリティに与える歪み).
- 大量報告 報道を封じ込めるために、当社のソーシャルメディアアカウントを……
- 当社のX(Twitter)アカウントは 14万件以上のフィッシング被害報告が記録されている 登録担当者の圧力により、永久に利用停止処分となった — 参照 NameSiloが私たちのTwitterを潰してしまった. アーカイブは引き続き公開されています: GitHubアーカイブ.
犯罪者は自分の足跡を消そうとするが、我々はそれらの痕跡が永久に残るよう徹底する。
法的地位と調整
私たちは 非営利の運営者協同組合 — 企業でもなければ、法人でもなく、いかなる政府とも提携していません。私たちの活動はすべて公開されています:
- すべてのレポートや証拠は、GitHub、Telegram、Mastodon上で公開されており、隠されたり非公開で保管されたりしているものは一切ありません。
- 俳優の特定、資金の流れの追跡、あるいはインフラのマッピングに関わる大規模な調査においては、我々は 証拠一式を法執行機関またはCERTチームに正式に引き渡す.
- こうした移送はすべて、法令を完全に遵守した上で、かつ実行可能な情報として確認された場合にのみ行われます。
- 私たちは 個人データを一切保存しないでください 貢献者たち――内部告発者を報復から守り、データ漏洩のリスクを排除すること。
私たちの役割は、悪意のある活動を記録・摘発し、その証拠に基づいて措置を講じる法的権限を持つ関係者を支援することです。
数字で見る
- 500,000+ 2019年以降に遮断されたフィッシングおよび詐欺用ドメイン。
- 130,000+ 厳選されたアクティブな脅威 destroylist.
- 50+ ウイルス対策ベンダーや脅威情報プラットフォームが、当社のフィードを受信しています。
- 30,000+ Namecheapとの提携を通じて削除されたドメインのみ。
- <0.5% 全体における偽陽性率 100,000+ 検証済みのレポート。
- 140,000+ Xアカウントの停止後にアーカイブされた投稿。
- 888K+ 各フィードのコミュニティ購読者。
ご協力のお願い
- ドメインを報告する:@PhishDestroy_bot Telegramで。
- アラートを購読する:@PhishDestroyAlerts.
- 当社のブロックリストをご利用ください ファイアウォール、DNS、またはセキュリティスタックにおいて: github.com/PhishDestroy/destroylist.
- 当社の調査記事をご覧ください:詐欺を助長する登録業者, $100K returned, 150以上の偽のMozilla拡張機能.
「集団での取り組みこそが、最も強力な防御策です。私たちの取り組みは、テクノロジー、専門知識、そしてコミュニティが一体となってサイバー犯罪に立ち向かったときに、どのような成果が得られるかを示しています。」





