サイバー犯罪者はコロナ禍の時期においても活発に活動を行っており、フィッシングメールおよびフィッシングサイトの検出数も増加しています。トレンドマイクロの最近の調査では、あたかも一般企業が運営するサイトのように見せかけたドメインをフィッシングに使用する手口を確認しました。本ブログではこの手口について実際の事例と共にご紹介します。
■挙動
この手口では、ユーザがプロバイダからのメールを偽装したフィッシングメールを受け取るところから始まります。
図1:攻撃に使用されたフィッシングメール
フィッシングメール内の「Release All/Block All」ボタンをクリックすると、フィッシングメールで偽装したプロバイダとは全く関係のないドメインである「hxxps://wiseinvestors[.]pro」配下に作成された電子メールシステムの偽のログインフォームへと誘導されます。
図2:偽のメールシステムのログインページ
ここまでは、認証情報を入力させる一般的なフィッシングの手口ですが、この事例で特徴的なのは、「hxxps://wiseinvestors[.]pro」のドメイン自体は正規サイトであるかのように見せようとしているところです。「hxxps://wiseinvestors[.]pro」にアクセスすると、一般企業のホームページに思えるコンテンツが表示されます。
![wiseinvestors[.]proで表示されるダミーの企業Webサイト](https://blog.trendmicro.co.jp/wp-content/uploads/2021/03/図-3:wiseinvestors.proで表示されるダミーの企業Webサイト.jpg)
図 3:wiseinvestors[.]proで表示されるダミーの企業Webサイト
(WordPress テーマのテンプレートがそのまま使われている)
しかしトレンドマイクロでは、以下の理由から、このWebサイトは企業の正規サイトを偽装したダミーであると判断しました。
- ドメイン名:「WiseInvestors」というドメイン名が、サイトに表示されている会社のブランド名「Pearl」と一致しません。実際、この「Pearl」はWordPressが提供する企業向けテーマ(テンプレート)です。
- 珍しいトップレベルドメイン(TLD):TLDとしては珍しい「.pro」が使用されています。このような一般的ではないTLDは、「.com」「.net」「.jp」などの一般的なTLDと比べて、安価に使用できることが多いため、サイバー犯罪者にとって利用しやすいものと言えます。
- 定型文:「Lorem Ipsum(ロレム・イプサム)」のようなダミー文章に似た定型文の残骸が、サイト上に確認できます(図4)。
- ドメイン登録:whoisの記録によると、このドメインは1年以内に登録されたものです。不正ドメインはほとんどが短期間内に登録されています。
図4:不完全なWebサイトの文章
![図 5: wiseinvestors[.]proについてのWhoisの記録](https://blog.trendmicro.co.jp/wp-content/uploads/2021/03/図-5:-wiseinvestors.proについてのWhoisの記録.jpg)
図 5: wiseinvestors[.]proについてのWhoisの記録
サイバー犯罪者はこの手法を用いることにより、一般的なセキュリティソフトウェアが備えるアンチスパム機能や不正URLブロック機能の回避だけではなく、ドメイン情報をさらに精査するリアルタイム検知まで回避できる可能性があります。つまり、セキュリティベンダーに正規サイトのドメインと誤解させることにより、ドメイン全体をブロックされることを回避できる可能性がある、ということです。これにより、サイバー犯罪者はそのドメインをホストとするフィッシングサイトをさらに作成することができます。
このような手法は、ここ数カ月で他にも確認されています。以下はその例です:
図6:中国語で書かれた偽のアカウントパスワードの通知メール
図7:メールに記されたリンクの接続先(偽のログインページ)
図8:偽のログインページのドメインとして表示されるWebサイト(ブログサイトを偽装、ダミーテキストの定型文が使用されており、異常に高い価格で定期購読を促す内容となっている)
図9:偽のアカウントパスワード通知メール
図10:図9のメールで「Keep Password」をクリックすると遷移する偽のログインページ
図11 :偽のログインページのドメインとして表示されるWebサイト
(WordPress テーマのテンプレートがそのまま使われている)
■フィッシングメールなどの詐欺による被害に遭わないためには
電子メールのリンクをクリックする前に、いくつかのベストプラクティスに従うことで、このような攻撃を避けることができます。
- メールの内容を十分確認する。メールアドレス、本文、リンクに一貫性がないなど不審な点がないか十分確認する
- メールのリンクを選択しクリックする場合は、リンク先のWebサイトを確認する。ホームに不審なコンテンツが表示されていないからといって、Webサイト全体が無害であるとは限らないことに留意する。サイト内に記載された文章に不自然な点がないか確認する
- 業務用のコンピュータでフィッシングや詐欺の疑いのあるメールを確認した場合は、すぐに情報システム部門やセキュリティ担当者に連絡する
組織では、セキュリティのベストプラクティスに従うことで、今回紹介したようなフィッシングキャンペーンによる被害を最小限に抑えることができます。特に不審なメールの着信を防ぐことで、被害を防ぐことができます。
- 電子メールの安全性を確保する。 メールセキュリティ対策製品の導入は、スパムメールやフィッシングを介して配信される脅威を阻止し、また、ユーザが不審なメールや添付ファイルを開かないようにするために役立つ
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、偽サイトなど不正な Web サイトへのアクセスをブロックします。
法人向けセキュリティ製品では、メール対策製品「Trend Micro Cloud App Security™」や「Deep Discovery™ Email Inspector」においてWebレピュテーションとURL動的解析、機械学習を使用した不審メール検出技術により、電子メールレイヤーを保護します。メッセージ本文だけでなく、添付ファイル内の不審なコンテンツを検出できます。また、サンドボックスによるマルウェア解析とドキュメントエクスプロイト検出を提供することができます。
参考記事:
- 「Phishing Technique Uses Legitimate-looking Domains to Avoid Detection」
By Paul Miguel Babon
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
