セキュリティ研究者によると、今年最大のデジタルサプライチェーン攻撃の一つは、無名の企業によって実行され、多数のインターネットユーザーを模倣ギャンブルサイトのネットワークにリダイレクトしたという。
今年初め、FUNNULLという企業がPolyfill.ioを買収しました。Polyfill.ioはオープンソースのJavaScriptライブラリをホストするドメインで、このライブラリをウェブサイトに埋め込むことで、古いブラウザでも新しいブラウザの機能を実行できるようになります。サイバーセキュリティ企業Sansecが6月に報じたように、Polyfill.ioを掌握したFUNNULLは、このドメインを利用して実質的にサプライチェーン攻撃を実行しました。FUNNULLは正規のサービスを乗っ取り、数百万ものウェブサイトへのアクセスを悪用して、訪問者にマルウェアを拡散させていました。
Polyfill.io が買収された際、Polyfill の元作者は、Polyfill.io ドメインを所有したことは一度もないと警告し、ウェブサイトに対し、リスクを回避するためにホストされている Polyfill コードを完全に削除することを推奨しました。また、コンテンツ配信ネットワークプロバイダーの Cloudflare と Fastly は、Polyfill ライブラリの使用を継続したいウェブサイトに安全で信頼できる代替手段を提供するために、Polyfill.io のミラーを公開しました。
サプライチェーン攻撃の正確な目的は不明だが、Sansecの創設者ウィレム・デ・グルート氏は当時、これは「笑ってしまうほどひどい」収益化の試みのようだとXに書いている。
現在、サイレントプッシュのセキュリティ研究者は、数千の中国のギャンブルサイトのネットワークをマッピングし、それをFUNNULLおよびPolyfill.ioサプライチェーン攻撃に関連付けたと述べています。
TechCrunchに事前に提供された研究者の報告によると、FUNNULLはPolyfill.ioへのアクセスを利用してマルウェアを注入し、ウェブサイト訪問者をカジノやオンラインギャンブルサイトの悪質なネットワークにリダイレクトしていたという。
「この『オンラインギャンブルネットワーク』はフロント企業の可能性が高いようです」と、シニア脅威アナリストで、サイレントプッシュの報告書を執筆した研究者の一人であるザック・エドワーズ氏はTechCrunchに語った。エドワーズ氏はさらに、FUNNULLは「インターネット上で最大規模のオンラインギャンブル組織の一つを運営している」と付け加えた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Silent Pushの研究者は報告書の中で、FUNNULLがホストする約4万件のウェブサイト(主に中国語)を特定できたと述べています。これらのウェブサイトはすべて、一見ランダムな文字と数字が散りばめられた、似たような外観で自動生成されたと思われるドメインを使用しています。これらのサイトは、ベネチアン・マカオ、マカオのグランド・リスボア、サンシティ・グループを所有するカジノ複合企業サンズや、オンラインギャンブルポータルのBet365、Bwinなど、オンラインギャンブルやカジノのブランドを偽装しているようです。
Bwinの親会社であるEntainの広報担当者、クリス・アルフレッド氏はTechCrunchに対し、「これは当社が所有するドメインではないことを確認できます。したがって、サイト所有者は当社のBwinブランドを侵害していると思われますので、当社はこの問題を解決するための措置を講じます」と語った。
サンズ、サンシティ・グループ、マカオ・グランド・リスボア、ベット365は複数回のコメント要請に応じなかった。
エドワーズ氏はTechCrunchに対し、同僚らがFUNNULL開発者のGitHubアカウントを発見したと語った。そのアカウントでは「マネームービング(資金移動)」という表現がマネーロンダリングを指しているとエドワーズ氏は考えている。GitHubページには、スパムサイトネットワークでなりすまされているギャンブルブランドへの言及や資金移動に関する話題を含むTelegramチャンネルへのリンクも含まれていた。
「そして、これらのサイトはすべて資金移動が主な目的だ」とエドワーズ氏は語った。
エドワーズ氏とその同僚によると、この疑わしいサイトネットワークは、FUNNULLのコンテンツ配信ネットワーク(CDN)上にホストされている。FUNNULLのウェブサイトは「米国製」を謳っているが、カナダ、マレーシア、フィリピン、シンガポール、スイス、米国の複数のオフィス住所が記載されており、これらはすべて現実世界では住所が記載されていない場所のようだ。
ギャンブル業界のハブであるHUIDUのプロフィールで、FUNNULLは「大陸に30以上のデータセンター」を所有しており(おそらく中国本土を指している)、中国に「高セキュリティの自動化サーバールーム」があると述べている。
表面上はテクノロジー企業であるにもかかわらず、FUNNULLの担当者との連絡は困難です。TechCrunchは同社に連絡を取り、コメントを求め、サプライチェーン攻撃における同社の役割について質問しようと試みましたが、回答はありませんでした。
FUNNULLのウェブサイトには、存在しないメールアドレス、WhatsAppに登録されていると主張するが連絡が取れない電話番号、WeChatでFUNNULLとは無関係の台湾の女性が所有していると思われる同じ番号、コメントの要請に応じなかったSkypeアカウント、そして「サラ」とだけ名乗り、FUNNULLのロゴをアバターにしているTelegramアカウントが掲載されている。
Telegramの「Sara」は、TechCrunchが中国語と英語で送ったコメント要請に対し、「あなたの言っていることが理解できません」と述べ、回答を中止した。TechCrunchは、FUNNULLが所有する有効なメールアドレスを複数特定したが、いずれもコメント要請に回答しなかった。
ACB Groupという企業は、公式ウェブサイトのアーカイブ版でFUNNULLの所有者であると主張していましたが、現在はオフラインになっています。TechCrunchはACB Groupに連絡を取ることができませんでした。
FUNNULLは数百万ものウェブサイトにアクセスできるため、スパムウェブサイトの訪問者に対して、ランサムウェア、ワイパー型マルウェア、スパイウェアなどをインストールするなど、より危険な攻撃を仕掛けることができたはずです。このようなサプライチェーン攻撃は、ウェブが複雑なグローバルネットワークとなっているため、ますます容易になっています。これらのウェブサイトは、サードパーティ製のツールで構築され、サードパーティによって管理されていることが多く、そのツールが悪意のあるものであることが判明する可能性もあります。
今回の目的は、スパムサイトのネットワークを収益化することだったようです。次回はもっとひどい事態になるかもしれません。
X/Twitterで働いている、または働いていた方で、同社のセキュリティと安全性について詳しい情報をお持ちですか?仕事用ではないデバイスから、Signal(+1 917 257 1382)、Telegram、Keybase(@lorenzofb)、またはメールで、Lorenzo Franceschi-Bicchierai氏に安全に連絡を取ることができます。また、SecureDrop経由でTechCrunchに連絡することも可能です。
