フィッシング攻撃に関する総括: 2018年1月~3月
※ 本記事は2018年6月18日に 米国で掲載されたブログ記事 の抄訳版となります。
要約
フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSを使用したフィッシングURLに重点を置いて、統計的に示します。
フィッシングURLの統計
2018年の第1四半期には、262件の固有ドメインから4,213件のURLがフィッシング攻撃で使用されました。平均すると、1ドメイン当たり16件の異なるフィッシングURLを提供していることになります。次のヒート マップは、これらの262件のドメインの地理的分布を示しています。
図1. フィッシング ドメインの地理的ヒート マップ
これらのフィッシング ドメインの半数以上が、米国でホストされていました。2番目以降に多い国で観測されたドメイン数は米国に比べて少数でした。2番目のドイツは28件、3番目のポーランドは13件でした(図2参照)。
図 2. フィッシング ドメインが存在する国/ゾーンおよび数
また、アフリカおよび南米でもいくつかのフィッシング ドメインがホストされていました。
4,213件のフィッシングURLのうち、2,066件は、複数の多様な企業や組織を標的とする、汎用のフィッシング テンプレートを使用しています。例えば、攻撃者は、フォームで「chalbhai」という名前と「next1.php」というIDを使用して、Bank of Americaの顧客を標的にしていました(図3参照)。また、同様のテンプレートが、Dropboxの顧客を標的とし、国税庁を騙る税金詐欺の手法に使用されていることも観測されています。
図 3. chalbhaiフィッシング ページのソース コード例
汎用のフィッシング テンプレート以外では、Adobe顧客を標的にしたフィッシングのなりすましページのURLが1,404件、DropBox顧客を標的にしたURLが155件、Facebook ユーザーを標的にしたURLが18件、Google Docユーザーを標的にしたURLが442件、Google Driveユーザーを標的にしたURLが108件、Office 365顧客を標的にしたURLが20件ありました。図4は、標的別にフィッシングURLの分布を示した棒グラフです。この棒グラフから、合計4,213件のURLのうち、ほぼ50%を汎用のフィッシングURLが占めていることがわかります。次に、AdobeおよびGoogleの顧客を標的にしたURLがそれぞれ33%、13%と続いています。これら上位の3つ以外では、少数ながらOffice 365およびFacebookの顧客を標的にしたURLがあります。
図4. なりすましページが標的とした回数
HTTPSを使用したフィッシングURL
HTTPSを使用したフィッシングURLは、識別がより困難です。そのため、さらに労力を割いて、それらの識別と分析に取り組みました。4,213件のフィッシングURLのうち、1,010件が46件の固有ドメインからのHTTPS URLです。平均すると、1ドメイン当たり21件のフィッシングURLを提供していることになります。図5は、HTTPとHTTPSのフィッシングURLおよびドメインの比較です。
図5. HTTPとHTTPSの比較
弊社は、46件のドメインの証明書発行者も調査しました。「cPanel」が31件のフィッシングドメインの証明書を発行し、「COMODO」および「Let's Encrypt」がそれぞれ6件の異なるフィッシング ドメインの証明書を、「Go Daddy Secure」が1件の証明書を発行していました。2件のドメインはすでに使用されていませんでした(図6参照)。
図6. 証明書発行者の分布
Unit 42は、すべてのホスト者および発行者にアクセスしました。「Comodo」証明書はGoogleから信頼されておらず、「Go Daddy Secure」から発行された証明書は1つのみでした。ドメインと証明書の完全なリストを IOC (脅威の痕跡) に示します。これらを不審な証明書リストに追加することを強く推奨します。
図7. フィッシング ドメインの証明書発行者
フィッシング キット
フィッシング攻撃をより効果的にするために、通常、攻撃者は、(フィッシング キャンペーンで使用することを目的とした) 1つのWebサイトの変更済みファイルを複製してzipファイルにパックし、複数のハッキングしたWebサイトにアップロードします。このzipファイルは、フィッシング キットの一部とみなすことができます。zipファイルをアンパックして、フィッシング サイトに展開した後、攻撃者によっては、zipファイルをそのまま放置するため、調査研究者はそのファイルにアクセスして、内容を分析することができます。弊社の調査中に、フィッシングzipファイルのサンプルを収集しました。以下のフィッシング例は、図8および図9に示すように、Outlook/Office 365の顧客を標的にしています。
図8. フィッシング キットのディレクトリ
図9. フィッシング キットのCSSディレクトリの内容
要約
このブログでは、2018年の第1四半期のフィッシング統計を示して、フィッシングの標的の分布、汎用フィッシング テンプレート、フィッシング キットについて説明しました。特に、HTTPSを使用したフィッシングURL、および悪意を持って使用される証明書の証明書発行者の分布について示しました。HTTPSを使用したフィッシングURLには注意を払う必要があります。多くの人々がHTTPSは信頼性が高いと考えており、悪意のあるリンクの検出がより困難なためです。パロアルトネットワークス製品は HTTPSを使用したフィッシングURLを処理できますので、弊社製品をご利用のお客様はHTTPSを使用したフィッシング攻撃から保護されます。また、IPSシグネチャによってフィッシング キットを検出できます。さらに有効な脅威防御サブスクリプションをお持ちのパロアルトネットワークスのお客様は、このブログで指摘されたすべてのフィッシング攻撃から保護されます。
IOC (脅威の痕跡)
Carrentalahmedabad[.]info |
(無効) |
(無効) |
Sdlfkjttq[.]tk |
(無効) |
(無効) |
ana-ero[.]bid |
COMODO ECC Domain Validation Secure Server CA 2 |
sni50732.cloudflaressl[.]com |
www.discoverdiva[.]com |
COMODO ECC Domain Validation Secure Server CA 2 |
sni222615.cloudflaressl[.]com |
biomedics.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
clements.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
offiicceeeedrop.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
re-fb.000webhostapp[.]com |
COMODO RSA Domain Validation Secure Server CA |
*.000webhostapp[.]com |
Allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
Allamericantrade[.]pl |
cPanel, Inc. Certification Authority |
Allamericantrade[.]pl |
Azadtehsil[.]ml |
cPanel, Inc. Certification Authority |
Azadtehsil[.]ml |
Bectronix[.]tech |
cPanel, Inc. Certification Authority |
Bectronix[.]tech |
Clearwaterfiles[.]ml |
cPanel, Inc. Certification Authority |
Clearwaterfiles[.]ml |
Clearwaterfiles[.]tk |
cPanel, Inc. Certification Authority |
Clearwaterfiles[.]tk |
Cloudhsh[.]com |
cPanel, Inc. Certification Authority |
Cloudhsh[.]com |
Cristaleriags[.]es |
cPanel, Inc. Certification Authority |
Cristaleriags[.]es |
cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
cuh-dubai[.]com |
cPanel, Inc. Certification Authority |
cuh-dubai[.]comcom |
diabeticosaudavel.com[.]br |
cPanel, Inc. Certification Authority |
diabeticosaudavel.com[.]br |
Dunkelbergerz[.]ga |
cPanel, Inc. Certification Authority |
Dunkelbergerz[.]ga |
ea23travel[.]com |
cPanel, Inc. Certification Authority |
ea23travel[.]com |
Filtrao[.]org |
cPanel, Inc. Certification Authority |
Filtrao[.]org |
Footworkapp[.]ga |
cPanel, Inc. Certification Authority |
Footworkapp[.]ga |
Hentoshphotography[.]com |
cPanel, Inc. Certification Authority |
Hentoshphotography[.]com |
mail.allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
mail.cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
mecanicoadomicilio.com[.]ve |
cPanel, Inc. Certification Authority |
mecanicoadomicilio.com[.]ve |
mic-office[.]cf |
cPanel, Inc. Certification Authority |
mic-office[.]cf |
mic-office[.]ga |
cPanel, Inc. Certification Authority |
mic-office[.]ga |
richbtc4u[.]com |
cPanel, Inc. Certification Authority |
richbtc4u[.]com |
Servicenterelectronic[.]com |
cPanel, Inc. Certification Authority |
Servicenterelectronic[.]com |
Theaafiz[.]com |
cPanel, Inc. Certification Authority |
Theaafiz[.]com |
vweds.usa[.]cc |
cPanel, Inc. Certification Authority |
vweds.usa[.]cccc |
www.allamericantrade[.]eu |
cPanel, Inc. Certification Authority |
Allamericantrade[.]eu |
www.cristelito.com[.]pl |
cPanel, Inc. Certification Authority |
cristelito.com[.]pl |
www.manglammilk[.]com |
cPanel, Inc. Certification Authority |
Manglammilk[.]com |
www.servicenterelectronic[.]com |
cPanel, Inc. Certification Authority |
Servicenterelectronic[.]com |
www.upperdelawarescenicbyway[.]org |
cPanel, Inc. Certification Authority |
Upperdelawarescenicbyway[.]org |
Zyaviv[.]com |
cPanel, Inc. Certification Authority |
Zyaviv[.]com |
Getwealthi[.]com |
Go Daddy Secure Certificate Authority - G2 |
Chasethepaper[.]com |
Farmking[.]in |
Let's Encrypt Authority X3 |
Farmking[.]in |
Cabinetdetectivi[.]ro |
Let's Encrypt Authority X3 |
Cabinetdetectivi[.]ro |
Stiesdal[.]com |
Let's Encrypt Authority X3 |
Stiesdal[.]com |
Stingereincendiu[.]ro |
Let's Encrypt Authority X3 |
Stingereincendiu[.]ro |
usps.com.runningwild.co[.]ke |
Let's Encrypt Authority X3 |
usps.com.runningwild.co[.]ke |
www.duannhatrangpearl.com[.]vn |
Let's Encrypt Authority X3 |
duannhatrangpearl.com[.]vn |
