Tao Yan, Bo Qu, Zhanglin HeZhanglin He

※ 本記事は2018年6月18日に 米国で掲載されたブログ記事 の抄訳版となります。

 

要約

フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSを使用したフィッシングURLに重点を置いて、統計的に示します。

 

フィッシングURLの統計

2018年の第1四半期には、262件の固有ドメインから4,213件のURLがフィッシング攻撃で使用されました。平均すると、1ドメイン当たり16件の異なるフィッシングURLを提供していることになります。次のヒート マップは、これらの262件のドメインの地理的分布を示しています。

 

Nutshell_1

1. フィッシング ドメインの地理的ヒート マップ

 

これらのフィッシング ドメインの半数以上が、米国でホストされていました。2番目以降に多い国で観測されたドメイン数は米国に比べて少数でした。2番目のドイツは28件、3番目のポーランドは13件でした(図2参照)。

 

Nutshell_2

2. フィッシング ドメインが存在する国/ゾーンおよび数

 

また、アフリカおよび南米でもいくつかのフィッシング ドメインがホストされていました。

 

4,213件のフィッシングURLのうち、2,066件は、複数の多様な企業や組織を標的とする、汎用のフィッシング テンプレートを使用しています。例えば、攻撃者は、フォームで「chalbhai」という名前と「next1.php」というIDを使用して、Bank of Americaの顧客を標的にしていました(図3参照)。また、同様のテンプレートが、Dropboxの顧客を標的とし、国税庁を騙る税金詐欺の手法に使用されていることも観測されています。

 

Nutshell_3

3. chalbhaiフィッシング ページのソース コード例

 

汎用のフィッシング テンプレート以外では、Adobe顧客を標的にしたフィッシングのなりすましページのURLが1,404件、DropBox顧客を標的にしたURLが155件、Facebook ユーザーを標的にしたURLが18件、Google Docユーザーを標的にしたURLが442件、Google Driveユーザーを標的にしたURLが108件、Office 365顧客を標的にしたURLが20件ありました。図4は、標的別にフィッシングURLの分布を示した棒グラフです。この棒グラフから、合計4,213件のURLのうち、ほぼ50%を汎用のフィッシングURLが占めていることがわかります。次に、AdobeおよびGoogleの顧客を標的にしたURLがそれぞれ33%、13%と続いています。これら上位の3つ以外では、少数ながらOffice 365およびFacebookの顧客を標的にしたURLがあります。

 

図4. なりすましページが標的とした回数

 

HTTPSを使用したフィッシングURL

HTTPSを使用したフィッシングURLは、識別がより困難です。そのため、さらに労力を割いて、それらの識別と分析に取り組みました。4,213件のフィッシングURLのうち、1,010件が46件の固有ドメインからのHTTPS URLです。平均すると、1ドメイン当たり21件のフィッシングURLを提供していることになります。図5は、HTTPとHTTPSのフィッシングURLおよびドメインの比較です。

Nutshell_5

図5. HTTPとHTTPSの比較

 

弊社は、46件のドメインの証明書発行者も調査しました。「cPanel」が31件のフィッシングドメインの証明書を発行し、「COMODO」および「Let's Encrypt」がそれぞれ6件の異なるフィッシング ドメインの証明書を、「Go Daddy Secure」が1件の証明書を発行していました。2件のドメインはすでに使用されていませんでした(図6参照)。

Nutshell_6

図6. 証明書発行者の分布

 

Unit 42は、すべてのホスト者および発行者にアクセスしました。「Comodo」証明書はGoogleから信頼されておらず、「Go Daddy Secure」から発行された証明書は1つのみでした。ドメインと証明書の完全なリストを IOC (脅威の痕跡) に示します。これらを不審な証明書リストに追加することを強く推奨します。

 

Nutshell_7

図7. フィッシング ドメインの証明書発行者

 

フィッシング キット

フィッシング攻撃をより効果的にするために、通常、攻撃者は、(フィッシング キャンペーンで使用することを目的とした) 1つのWebサイトの変更済みファイルを複製してzipファイルにパックし、複数のハッキングしたWebサイトにアップロードします。このzipファイルは、フィッシング キットの一部とみなすことができます。zipファイルをアンパックして、フィッシング サイトに展開した後、攻撃者によっては、zipファイルをそのまま放置するため、調査研究者はそのファイルにアクセスして、内容を分析することができます。弊社の調査中に、フィッシングzipファイルのサンプルを収集しました。以下のフィッシング例は、図8および図9に示すように、Outlook/Office 365の顧客を標的にしています。

Nutshell_8

図8. フィッシング キットのディレクトリ

 

Nutshell_9

図9. フィッシング キットのCSSディレクトリの内容

 

要約

このブログでは、2018年の第1四半期のフィッシング統計を示して、フィッシングの標的の分布、汎用フィッシング テンプレート、フィッシング キットについて説明しました。特に、HTTPSを使用したフィッシングURL、および悪意を持って使用される証明書の証明書発行者の分布について示しました。HTTPSを使用したフィッシングURLには注意を払う必要があります。多くの人々がHTTPSは信頼性が高いと考えており、悪意のあるリンクの検出がより困難なためです。パロアルトネットワークス製品は HTTPSを使用したフィッシングURLを処理できますので、弊社製品をご利用のお客様はHTTPSを使用したフィッシング攻撃から保護されます。また、IPSシグネチャによってフィッシング キットを検出できます。さらに有効な脅威防御サブスクリプションをお持ちのパロアルトネットワークスのお客様は、このブログで指摘されたすべてのフィッシング攻撃から保護されます。

 

 

IOC (脅威の痕跡)

 

Carrentalahmedabad[.]info

(無効)

(無効)

Sdlfkjttq[.]tk

(無効)

(無効)

ana-ero[.]bid

COMODO ECC Domain Validation Secure Server CA 2

 sni50732.cloudflaressl[.]com

www.discoverdiva[.]com

COMODO ECC Domain Validation Secure Server CA 2

 sni222615.cloudflaressl[.]com

biomedics.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

clements.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

offiicceeeedrop.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

re-fb.000webhostapp[.]com

COMODO RSA Domain Validation Secure Server CA

 *.000webhostapp[.]com

Allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

Allamericantrade[.]pl

cPanel, Inc. Certification Authority

 Allamericantrade[.]pl

Azadtehsil[.]ml

cPanel, Inc. Certification Authority

 Azadtehsil[.]ml

Bectronix[.]tech

cPanel, Inc. Certification Authority

 Bectronix[.]tech

Clearwaterfiles[.]ml

cPanel, Inc. Certification Authority

 Clearwaterfiles[.]ml

Clearwaterfiles[.]tk

cPanel, Inc. Certification Authority

 Clearwaterfiles[.]tk

Cloudhsh[.]com

cPanel, Inc. Certification Authority

 Cloudhsh[.]com

Cristaleriags[.]es

cPanel, Inc. Certification Authority

 Cristaleriags[.]es

cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

cuh-dubai[.]com

cPanel, Inc. Certification Authority

 cuh-dubai[.]comcom

diabeticosaudavel.com[.]br

cPanel, Inc. Certification Authority

 diabeticosaudavel.com[.]br

Dunkelbergerz[.]ga

cPanel, Inc. Certification Authority

 Dunkelbergerz[.]ga

ea23travel[.]com

cPanel, Inc. Certification Authority

 ea23travel[.]com

Filtrao[.]org

cPanel, Inc. Certification Authority

 Filtrao[.]org

Footworkapp[.]ga

cPanel, Inc. Certification Authority

 Footworkapp[.]ga

Hentoshphotography[.]com

cPanel, Inc. Certification Authority

 Hentoshphotography[.]com

mail.allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

mail.cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

mecanicoadomicilio.com[.]ve

cPanel, Inc. Certification Authority

 mecanicoadomicilio.com[.]ve

mic-office[.]cf

cPanel, Inc. Certification Authority

 mic-office[.]cf

mic-office[.]ga

cPanel, Inc. Certification Authority

 mic-office[.]ga

richbtc4u[.]com

cPanel, Inc. Certification Authority

 richbtc4u[.]com

Servicenterelectronic[.]com

cPanel, Inc. Certification Authority

 Servicenterelectronic[.]com

Theaafiz[.]com

cPanel, Inc. Certification Authority

 Theaafiz[.]com

vweds.usa[.]cc

cPanel, Inc. Certification Authority

 vweds.usa[.]cccc

www.allamericantrade[.]eu

cPanel, Inc. Certification Authority

 Allamericantrade[.]eu

www.cristelito.com[.]pl

cPanel, Inc. Certification Authority

 cristelito.com[.]pl

www.manglammilk[.]com

cPanel, Inc. Certification Authority

 Manglammilk[.]com

www.servicenterelectronic[.]com

cPanel, Inc. Certification Authority

 Servicenterelectronic[.]com

www.upperdelawarescenicbyway[.]org

cPanel, Inc. Certification Authority

 Upperdelawarescenicbyway[.]org

Zyaviv[.]com

cPanel, Inc. Certification Authority

 Zyaviv[.]com

Getwealthi[.]com

Go Daddy Secure Certificate Authority - G2

 Chasethepaper[.]com

Farmking[.]in

Let's Encrypt Authority X3

 Farmking[.]in

Cabinetdetectivi[.]ro

Let's Encrypt Authority X3

 Cabinetdetectivi[.]ro

Stiesdal[.]com

Let's Encrypt Authority X3

 Stiesdal[.]com

Stingereincendiu[.]ro

Let's Encrypt Authority X3

 Stingereincendiu[.]ro

usps.com.runningwild.co[.]ke

Let's Encrypt Authority X3

 usps.com.runningwild.co[.]ke

www.duannhatrangpearl.com[.]vn

Let's Encrypt Authority X3

 duannhatrangpearl.com[.]vn

 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 9242

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 4658

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 3230

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1348

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2238