過去から、攻撃者は有名サイトと同様のフィッシングサイトを作り、メール、SMS、掲示板などの手段で個人情報、金融情報を奪取する悪意のある手法を使てきました。

Verizonの‘21データ侵害調査報告書’によると、侵害の36%がフィッシングに関わっていると発表しました。すなわち、フィッシングの手法が侵害事故でどれだけの割合を占めているかを知らせる指標として使えます。

誰でも経験できる一般的なフィッシングの試みは次の例のようです。

  • 有名または評判の良い会社に似た発信地の使用
  • Webブラウザのアドレスバーに正常な署名ブロックがありません
  • 誤った文法、文、スペルミス、一貫性のない形式の内容
  • ファイルダウンロード、リンククリックなどを緊急、重要性という表現で強要する

AI Speraは、フィッシングサイトを分析し、正常か悪意のあるDomainかを判断して被害を最小限に抑えるCriminal IP(CIP)ドメイン検索を提供します。CIPを利用することで、セキュリティ担当者の技術や知識レベルに関係なく、フィッシングサイトを迅速かつ正確に分析できます。

セキュリティ担当者であれば、役員から下記のような異常メッセージを受信したという届を受けた経験があるはずです。

報告を受けた後に、これ以上ダメージが発生しないように、そのドメインをすばやくブロックし、詳細な分析でフォローアップする必要があります。

 

フィッシングサイトを含むメッセージ

 

ドメイン検索で疑わしいドメインを分析した結果、ドメインスコアリングがCriticalレベルであることが確認されました。

分析Summaryで、不審な長さを見ると、30以上の長さを持っていることが分かり、マルウェアの感染によく使われるiframeタグが存在することが確認できます。

また、Title、Favicon、スクリーンショット、Inserted、Redirect toの経路が通常のfacebookと異なることから見て、そのドメインは明らかなフィッシングサイトです。

AI Speraは、ドメイン検索を利用するセキュリティ担当者にフィッシングサイトの分析結果をより明確に理解させるため、Summary属性の説明を下表のように提供しています。

分類属性説明
共通IP付きのURL検知されるドメインやリンクなどがIPであるかをチェック
フェイクドメインTop Sitesとの類似程度をチェック
フェイクSSL証明書の有効性をチェック
MITM攻撃MITM攻撃の可能性をチェック
位置ドメインに繋がっているIPの国の多様性をチェック
新生ドメインドメインの生成時期をチェック
異常の長さドメインの長さの異常をチェック
悪用レコード危険レベルがCritical、DangerousであるIPをチェック
メールサーバメールサーバーの存在をチェック
SPF1の結果ドメインのクエリー結果をチェック
DGAスコア不規則的な文字列をチェック
HTML隠れる要素Html内の隠れる要素をチェック
隠れるIframeHtml内の隠れるiframeをチェック
IframeIframeの存在をチェック
難読化のスクリプトジャバスクリプトの 難読化をチェック
疑わしいHTML要素Html内の疑わしいオブジェクトをチェック
疑わしいプログラムHtml内部でダウンロードできる設置ファイルをチェック
Button TrapButtonイベントで全く違うドメインの呼び出しをチェック
認証情報の入力フォームHtml内部で認証情報をリダイレクトチェック
ネットワーク別のASへリダイレクションリダイレクトの場合、別のASをチェック
別の国へリダイレクションリダイレクトの場合、別の国をチェック
別のドメインへリダイレクションリダイレクトの場合、別のドメインをチェック
疑わしいクッキードメインクッキーの有効性をチェック

 

Criminal IP Domain Searchの検索結果

 

Facebookのフィッシングサイトと通常サイト

 

そして、多くのフィッシングサイトが通常の署名ブロックが適用されていないため、Webブラウザのアドレスバーに危険という警告フレーズを入れたり、ウェブブラウザの独自フィルタ機能によって詐欺サイト注意というメッセージを見せたりすることで、フィッシングサイトの危険性を知らせる場合が多いです。

会社がテスト目的で構築した任意のウェブサイトでない場合、以下のような内容を確認したら、フィッシングサイトと疑うべきです。

Facebookのフィッシングサイト

 

フィッシングサイトから被害を防止するためには、基本的に以下の内容を承知して行動する必要があります。

  • 出所が明確ではないメッセージやリンクは、すぐ削除する
  • 電子署名を確認できない、または、類似ドメイン及び発信情報を使用する場合はクリック禁止する
  • モバイル、メールクライアント、Webブラウザが提供するすべてのフィッシング防止機能を使用する
  • できる限りの全てのアカウントでマルチレベル認証を有効にする
  • 客観的な分析結果を得て迅速に対応するために、Criminal IPのドメイン検索を使用する