• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

フィッシング攻撃に関する総括: 2018年1月~3月

Tao Yan, Bo Qu, Zhanglin HeZhanglin He 6 21, 2018 at 11:00 午前

※ 本記事は2018年6月18日に 米国で掲載されたブログ記事 の抄訳版となります。

 

要約

フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSを使用したフィッシングURLに重点を置いて、統計的に示します。

 

フィッシングURLの統計

2018年の第1四半期には、262件の固有ドメインから4,213件のURLがフィッシング攻撃で使用されました。平均すると、1ドメイン当たり16件の異なるフィッシングURLを提供していることになります。次のヒート マップは、これらの262件のドメインの地理的分布を示しています。

 

Nutshell_1

図1. フィッシング ドメインの地理的ヒート マップ

 

これらのフィッシング ドメインの半数以上が、米国でホストされていました。2番目以降に多い国で観測されたドメイン数は米国に比べて少数でした。2番目のドイツは28件、3番目のポーランドは13件でした(図2参照)。

 

Nutshell_2

図 2. フィッシング ドメインが存在する国/ゾーンおよび数

 

また、アフリカおよび南米でもいくつかのフィッシング ドメインがホストされていました。

 

4,213件のフィッシングURLのうち、2,066件は、複数の多様な企業や組織を標的とする、汎用のフィッシング テンプレートを使用しています。例えば、攻撃者は、フォームで「chalbhai」という名前と「next1.php」というIDを使用して、Bank of Americaの顧客を標的にしていました(図3参照)。また、同様のテンプレートが、Dropboxの顧客を標的とし、国税庁を騙る税金詐欺の手法に使用されていることも観測されています。

 

Nutshell_3

図 3. chalbhaiフィッシング ページのソース コード例

 

汎用のフィッシング テンプレート以外では、Adobe顧客を標的にしたフィッシングのなりすましページのURLが1,404件、DropBox顧客を標的にしたURLが155件、Facebook ユーザーを標的にしたURLが18件、Google Docユーザーを標的にしたURLが442件、Google Driveユーザーを標的にしたURLが108件、Office 365顧客を標的にしたURLが20件ありました。図4は、標的別にフィッシングURLの分布を示した棒グラフです。この棒グラフから、合計4,213件のURLのうち、ほぼ50%を汎用のフィッシングURLが占めていることがわかります。次に、AdobeおよびGoogleの顧客を標的にしたURLがそれぞれ33%、13%と続いています。これら上位の3つ以外では、少数ながらOffice 365およびFacebookの顧客を標的にしたURLがあります。

 

図4. なりすましページが標的とした回数

 

HTTPSを使用したフィッシングURL

HTTPSを使用したフィッシングURLは、識別がより困難です。そのため、さらに労力を割いて、それらの識別と分析に取り組みました。4,213件のフィッシングURLのうち、1,010件が46件の固有ドメインからのHTTPS URLです。平均すると、1ドメイン当たり21件のフィッシングURLを提供していることになります。図5は、HTTPとHTTPSのフィッシングURLおよびドメインの比較です。

Nutshell_5

図5. HTTPとHTTPSの比較

 

弊社は、46件のドメインの証明書発行者も調査しました。「cPanel」が31件のフィッシングドメインの証明書を発行し、「COMODO」および「Let's Encrypt」がそれぞれ6件の異なるフィッシング ドメインの証明書を、「Go Daddy Secure」が1件の証明書を発行していました。2件のドメインはすでに使用されていませんでした(図6参照)。

Nutshell_6

図6. 証明書発行者の分布

 

Unit 42は、すべてのホスト者および発行者にアクセスしました。「Comodo」証明書はGoogleから信頼されておらず、「Go Daddy Secure」から発行された証明書は1つのみでした。ドメインと証明書の完全なリストを IOC (脅威の痕跡) に示します。これらを不審な証明書リストに追加することを強く推奨します。

 

Nutshell_7

図7. フィッシング ドメインの証明書発行者

 

フィッシング キット

フィッシング攻撃をより効果的にするために、通常、攻撃者は、(フィッシング キャンペーンで使用することを目的とした) 1つのWebサイトの変更済みファイルを複製してzipファイルにパックし、複数のハッキングしたWebサイトにアップロードします。このzipファイルは、フィッシング キットの一部とみなすことができます。zipファイルをアンパックして、フィッシング サイトに展開した後、攻撃者によっては、zipファイルをそのまま放置するため、調査研究者はそのファイルにアクセスして、内容を分析することができます。弊社の調査中に、フィッシングzipファイルのサンプルを収集しました。以下のフィッシング例は、図8および図9に示すように、Outlook/Office 365の顧客を標的にしています。

Nutshell_8

図8. フィッシング キットのディレクトリ

 

Nutshell_9

図9. フィッシング キットのCSSディレクトリの内容

 

要約

このブログでは、2018年の第1四半期のフィッシング統計を示して、フィッシングの標的の分布、汎用フィッシング テンプレート、フィッシング キットについて説明しました。特に、HTTPSを使用したフィッシングURL、および悪意を持って使用される証明書の証明書発行者の分布について示しました。HTTPSを使用したフィッシングURLには注意を払う必要があります。多くの人々がHTTPSは信頼性が高いと考えており、悪意のあるリンクの検出がより困難なためです。パロアルトネットワークス製品は HTTPSを使用したフィッシングURLを処理できますので、弊社製品をご利用のお客様はHTTPSを使用したフィッシング攻撃から保護されます。また、IPSシグネチャによってフィッシング キットを検出できます。さらに有効な脅威防御サブスクリプションをお持ちのパロアルトネットワークスのお客様は、このブログで指摘されたすべてのフィッシング攻撃から保護されます。

 

 

IOC (脅威の痕跡)

 

Carrentalahmedabad[.]info

(無効)

(無効)

Sdlfkjttq[.]tk

(無効)

(無効)

ana-ero[.]bid

COMODO ECC Domain Validation Secure Server CA 2

 sni50732.cloudflaressl[.]com

www.discoverdiva[.]com

COMODO ECC Domain Validation Secure Server CA 2

 sni222615.cloudflaressl[.]com

biomedics.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

clements.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

offiicceeeedrop.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

re-fb.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

Allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

Allamericantrade[.]pl

cPanel, Inc. Certification Authority

 Allamericantrade[.]pl

Azadtehsil[.]ml

cPanel, Inc. Certification Authority

 Azadtehsil[.]ml

Bectronix[.]tech

cPanel, Inc. Certification Authority

 Bectronix[.]tech

Clearwaterfiles[.]ml

cPanel, Inc. Certification Authority

 Clearwaterfiles[.]ml

Clearwaterfiles[.]tk

cPanel, Inc. Certification Authority

 Clearwaterfiles[.]tk

Cloudhsh[.]com

cPanel, Inc. Certification Authority

 Cloudhsh[.]com

Cristaleriags[.]es

cPanel, Inc. Certification Authority

 Cristaleriags[.]es

cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

cuh-dubai[.]com

cPanel, Inc. Certification Authority

 cuh-dubai[.]comcom

diabeticosaudavel.com[.]br

cPanel, Inc. Certification Authority

 diabeticosaudavel.com[.]br

Dunkelbergerz[.]ga

cPanel, Inc. Certification Authority

 Dunkelbergerz[.]ga

ea23travel[.]com

cPanel, Inc. Certification Authority

 ea23travel[.]com

Filtrao[.]org

cPanel, Inc. Certification Authority

 Filtrao[.]org

Footworkapp[.]ga

cPanel, Inc. Certification Authority

 Footworkapp[.]ga

Hentoshphotography[.]com

cPanel, Inc. Certification Authority

 Hentoshphotography[.]com

mail.allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

mail.cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

mecanicoadomicilio.com[.]ve

cPanel, Inc. Certification Authority

 mecanicoadomicilio.com[.]ve

mic-office[.]cf

cPanel, Inc. Certification Authority

 mic-office[.]cf

mic-office[.]ga

cPanel, Inc. Certification Authority

 mic-office[.]ga

richbtc4u[.]com

cPanel, Inc. Certification Authority

 richbtc4u[.]com

Servicenterelectronic[.]com

cPanel, Inc. Certification Authority

 Servicenterelectronic[.]com

Theaafiz[.]com

cPanel, Inc. Certification Authority

 Theaafiz[.]com

vweds.usa[.]cc

cPanel, Inc. Certification Authority

 vweds.usa[.]cccc

www.allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

www.cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

www.manglammilk[.]com

cPanel, Inc. Certification Authority

 Manglammilk[.]com

www.servicenterelectronic[.]com

cPanel, Inc. Certification Authority

 Servicenterelectronic[.]com

www.upperdelawarescenicbyway[.]org

cPanel, Inc. Certification Authority

 Upperdelawarescenicbyway[.]org

Zyaviv[.]com

cPanel, Inc. Certification Authority

 Zyaviv[.]com

Getwealthi[.]com

Go Daddy Secure Certificate Authority - G2

 Chasethepaper[.]com

Farmking[.]in

Let's Encrypt Authority X3

 Farmking[.]in

Cabinetdetectivi[.]ro

Let's Encrypt Authority X3

 Cabinetdetectivi[.]ro

Stiesdal[.]com

Let's Encrypt Authority X3

 Stiesdal[.]com

Stingereincendiu[.]ro

Let's Encrypt Authority X3

 Stingereincendiu[.]ro

usps.com.runningwild.co[.]ke

Let's Encrypt Authority X3

 usps.com.runningwild.co[.]ke

www.duannhatrangpearl.com[.]vn

Let's Encrypt Authority X3

 duannhatrangpearl.com[.]vn

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved