フィッシング攻撃に関する総括: 2018年1月~3月

By , and

Category: Unit 42

Tags: , , , ,

This post is also available in: English (英語)

概要

フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSを使用したフィッシングURLに重点を置いて、統計的に示します。

フィッシングURLの統計

2018年の第1四半期には、262件の固有ドメインから4,213件のURLがフィッシング攻撃で使用されました。平均すると、1ドメイン当たり16件の異なるフィッシングURLを提供していることになります。次のヒート マップは、これらの262件のドメインの地理的分布を示しています。

1. フィッシング ドメインの地理的ヒート マップ

これらのフィッシング ドメインの半数以上が、米国でホストされていました。2番目以降に多い国で観測されたドメイン数は米国に比べて少数でした。2番目のドイツは28件、3番目のポーランドは13件でした(図2参照)。

2. フィッシング ドメインが存在する国/ゾーンおよび数

また、アフリカおよび南米でもいくつかのフィッシング ドメインがホストされていました。

4,213件のフィッシングURLのうち、2,066件は、複数の多様な企業や組織を標的とする、汎用のフィッシング テンプレートを使用しています。例えば、攻撃者は、フォームで「chalbhai」という名前と「next1.php」というIDを使用して、Bank of Americaの顧客を標的にしていました(図3参照)。また、同様のテンプレートが、Dropboxの顧客を標的とし、国税庁を騙る税金詐欺の手法に使用されていることも観測されています。

3. chalbhaiフィッシング ページのソース コード例

汎用のフィッシング テンプレート以外では、Adobe顧客を標的にしたフィッシングのなりすましページのURLが1,404件、DropBox顧客を標的にしたURLが155件、Facebook ユーザーを標的にしたURLが18件、Google Docユーザーを標的にしたURLが442件、Google Driveユーザーを標的にしたURLが108件、Office 365顧客を標的にしたURLが20件ありました。図4は、標的別にフィッシングURLの分布を示した棒グラフです。この棒グラフから、合計4,213件のURLのうち、ほぼ50%を汎用のフィッシングURLが占めていることがわかります。次に、AdobeおよびGoogleの顧客を標的にしたURLがそれぞれ33%、13%と続いています。これら上位の3つ以外では、少数ながらOffice 365およびFacebookの顧客を標的にしたURLがあります。

図4. なりすましページが標的とした回数

HTTPSを使用したフィッシングURL

HTTPSを使用したフィッシングURLは、識別がより困難です。そのため、さらに労力を割いて、それらの識別と分析に取り組みました。4,213件のフィッシングURLのうち、1,010件が46件の固有ドメインからのHTTPS URLです。平均すると、1ドメイン当たり21件のフィッシングURLを提供していることになります。図5は、HTTPとHTTPSのフィッシングURLおよびドメインの比較です。

図5. HTTPとHTTPSの比較

弊社は、46件のドメインの証明書発行者も調査しました。「cPanel」が31件のフィッシングドメインの証明書を発行し、「COMODO」および「Let’s Encrypt」がそれぞれ6件の異なるフィッシング ドメインの証明書を、「Go Daddy Secure」が1件の証明書を発行していました。2件のドメインはすでに使用されていませんでした(図6参照)。

図6. 証明書発行者の分布

Unit 42は、すべてのホスト者および発行者にアクセスしました。「Comodo」証明書はGoogleから信頼されておらず、「Go Daddy Secure」から発行された証明書は1つのみでした。ドメインと証明書の完全なリストを IOC (脅威の痕跡) に示します。これらを不審な証明書リストに追加することを強く推奨します。

図7. フィッシング ドメインの証明書発行者

フィッシング キット

フィッシング攻撃をより効果的にするために、通常、攻撃者は、(フィッシング キャンペーンで使用することを目的とした) 1つのWebサイトの変更済みファイルを複製してzipファイルにパックし、複数のハッキングしたWebサイトにアップロードします。このzipファイルは、フィッシング キットの一部とみなすことができます。zipファイルをアンパックして、フィッシング サイトに展開した後、攻撃者によっては、zipファイルをそのまま放置するため、調査研究者はそのファイルにアクセスして、内容を分析することができます。弊社の調査中に、フィッシングzipファイルのサンプルを収集しました。以下のフィッシング例は、図8および図9に示すように、Outlook/Office 365の顧客を標的にしています。

図8. フィッシング キットのディレクトリ

図9. フィッシング キットのCSSディレクトリの内容

結論

このブログでは、2018年の第1四半期のフィッシング統計を示して、フィッシングの標的の分布、汎用フィッシング テンプレート、フィッシング キットについて説明しました。特に、HTTPSを使用したフィッシングURL、および悪意を持って使用される証明書の証明書発行者の分布について示しました。HTTPSを使用したフィッシングURLには注意を払う必要があります。多くの人々がHTTPSは信頼性が高いと考えており、悪意のあるリンクの検出がより困難なためです。パロアルトネットワークス製品は HTTPSを使用したフィッシングURLを処理できますので、弊社製品をご利用のお客様はHTTPSを使用したフィッシング攻撃から保護されます。また、IPSシグネチャによってフィッシング キットを検出できます。さらに有効な脅威防御サブスクリプションをお持ちのパロアルトネットワークスのお客様は、このブログで指摘されたすべてのフィッシング攻撃から保護されます。

IoC

Carrentalahmedabad[.]info (無効) (無効)
Sdlfkjttq[.]tk (無効) (無効)
ana-ero[.]bid COMODO ECC Domain Validation Secure Server CA 2  sni50732.cloudflaressl[.]com
www.discoverdiva[.]com COMODO ECC Domain Validation Secure Server CA 2  sni222615.cloudflaressl[.]com
biomedics.000webhostapp[.]com COMODO RSA Domain Validation Secure Server CA  *.000webhostapp[.]com
clements.000webhostapp[.]com COMODO RSA Domain Validation Secure Server CA  *.000webhostapp[.]com
offiicceeeedrop.000webhostapp[.]com COMODO RSA Domain Validation Secure Server CA  *.000webhostapp[.]com
re-fb.000webhostapp[.]com COMODO RSA Domain Validation Secure Server CA  *.000webhostapp[.]com
Allamericantrade[.]eu cPanel, Inc. Certification Authority  Allamericantrade[.]eu
Allamericantrade[.]pl cPanel, Inc. Certification Authority  Allamericantrade[.]pl
Azadtehsil[.]ml cPanel, Inc. Certification Authority  Azadtehsil[.]ml
Bectronix[.]tech cPanel, Inc. Certification Authority  Bectronix[.]tech
Clearwaterfiles[.]ml cPanel, Inc. Certification Authority  Clearwaterfiles[.]ml
Clearwaterfiles[.]tk cPanel, Inc. Certification Authority  Clearwaterfiles[.]tk
Cloudhsh[.]com cPanel, Inc. Certification Authority  Cloudhsh[.]com
Cristaleriags[.]es cPanel, Inc. Certification Authority  Cristaleriags[.]es
cristelito.com[.]pl cPanel, Inc. Certification Authority  cristelito.com[.]pl
cuh-dubai[.]com cPanel, Inc. Certification Authority  cuh-dubai[.]comcom
diabeticosaudavel.com[.]br cPanel, Inc. Certification Authority  diabeticosaudavel.com[.]br
Dunkelbergerz[.]ga cPanel, Inc. Certification Authority  Dunkelbergerz[.]ga
ea23travel[.]com cPanel, Inc. Certification Authority  ea23travel[.]com
Filtrao[.]org cPanel, Inc. Certification Authority  Filtrao[.]org
Footworkapp[.]ga cPanel, Inc. Certification Authority  Footworkapp[.]ga
Hentoshphotography[.]com cPanel, Inc. Certification Authority  Hentoshphotography[.]com
mail.allamericantrade[.]eu cPanel, Inc. Certification Authority  Allamericantrade[.]eu
mail.cristelito.com[.]pl cPanel, Inc. Certification Authority  cristelito.com[.]pl
mecanicoadomicilio.com[.]ve cPanel, Inc. Certification Authority  mecanicoadomicilio.com[.]ve
mic-office[.]cf cPanel, Inc. Certification Authority  mic-office[.]cf
mic-office[.]ga cPanel, Inc. Certification Authority  mic-office[.]ga
richbtc4u[.]com cPanel, Inc. Certification Authority  richbtc4u[.]com
Servicenterelectronic[.]com cPanel, Inc. Certification Authority  Servicenterelectronic[.]com
Theaafiz[.]com cPanel, Inc. Certification Authority  Theaafiz[.]com
vweds.usa[.]cc cPanel, Inc. Certification Authority  vweds.usa[.]cccc
www.allamericantrade[.]eu cPanel, Inc. Certification Authority  Allamericantrade[.]eu
www.cristelito.com[.]pl cPanel, Inc. Certification Authority  cristelito.com[.]pl
www.manglammilk[.]com cPanel, Inc. Certification Authority  Manglammilk[.]com
www.servicenterelectronic[.]com cPanel, Inc. Certification Authority  Servicenterelectronic[.]com
www.upperdelawarescenicbyway[.]org cPanel, Inc. Certification Authority  Upperdelawarescenicbyway[.]org
Zyaviv[.]com cPanel, Inc. Certification Authority  Zyaviv[.]com
Getwealthi[.]com Go Daddy Secure Certificate Authority – G2  Chasethepaper[.]com
Farmking[.]in Let’s Encrypt Authority X3  Farmking[.]in
Cabinetdetectivi[.]ro Let’s Encrypt Authority X3  Cabinetdetectivi[.]ro
Stiesdal[.]com Let’s Encrypt Authority X3  Stiesdal[.]com
Stingereincendiu[.]ro Let’s Encrypt Authority X3  Stingereincendiu[.]ro
usps.com.runningwild.co[.]ke Let’s Encrypt Authority X3  usps.com.runningwild.co[.]ke
www.duannhatrangpearl.com[.]vn Let’s Encrypt Authority X3  duannhatrangpearl.com[.]vn

 


Secure Today,
for a Better
Tomorrow
Join us at IGNITE’20