過去から、攻撃者は有名サイトと同様のフィッシングサイトを作り、メール、SMS、掲示板などの手段で個人情報、金融情報を奪取する悪意のある手法を使てきました。
Verizonの‘21データ侵害調査報告書’によると、侵害の36%がフィッシングに関わっていると発表しました。すなわち、フィッシングの手法が侵害事故でどれだけの割合を占めているかを知らせる指標として使えます。
誰でも経験できる一般的なフィッシングの試みは次の例のようです。
- 有名または評判の良い会社に似た発信地の使用
- Webブラウザのアドレスバーに正常な署名ブロックがありません
- 誤った文法、文、スペルミス、一貫性のない形式の内容
- ファイルダウンロード、リンククリックなどを緊急、重要性という表現で強要する
AI Speraは、フィッシングサイトを分析し、正常か悪意のあるDomainかを判断して被害を最小限に抑えるCriminal IP(CIP)ドメイン検索を提供します。CIPを利用することで、セキュリティ担当者の技術や知識レベルに関係なく、フィッシングサイトを迅速かつ正確に分析できます。
セキュリティ担当者であれば、役員から下記のような異常メッセージを受信したという届を受けた経験があるはずです。
報告を受けた後に、これ以上ダメージが発生しないように、そのドメインをすばやくブロックし、詳細な分析でフォローアップする必要があります。
ドメイン検索で疑わしいドメインを分析した結果、ドメインスコアリングがCriticalレベルであることが確認されました。
分析Summaryで、不審な長さを見ると、30以上の長さを持っていることが分かり、マルウェアの感染によく使われるiframeタグが存在することが確認できます。
また、Title、Favicon、スクリーンショット、Inserted、Redirect toの経路が通常のfacebookと異なることから見て、そのドメインは明らかなフィッシングサイトです。
AI Speraは、ドメイン検索を利用するセキュリティ担当者にフィッシングサイトの分析結果をより明確に理解させるため、Summary属性の説明を下表のように提供しています。
| 分類 | 属性 | 説明 |
|---|---|---|
| 共通 | IP付きのURL | 検知されるドメインやリンクなどがIPであるかをチェック |
| フェイクドメイン | Top Sitesとの類似程度をチェック | |
| フェイクSSL | 証明書の有効性をチェック | |
| MITM攻撃 | MITM攻撃の可能性をチェック | |
| 位置 | ドメインに繋がっているIPの国の多様性をチェック | |
| 新生ドメイン | ドメインの生成時期をチェック | |
| 異常の長さ | ドメインの長さの異常をチェック | |
| 悪用レコード | 危険レベルがCritical、DangerousであるIPをチェック | |
| メールサーバ | メールサーバーの存在をチェック | |
| SPF1の結果 | ドメインのクエリー結果をチェック | |
| DGAスコア | 不規則的な文字列をチェック | |
| HTML | 隠れる要素 | HTML内の隠れる要素をチェック |
| 隠れるIframe | HTML内の隠れるiframeをチェック | |
| Iframe | Iframeの存在をチェック | |
| 難読化のスクリプト | ジャバスクリプトの 難読化をチェック | |
| 疑わしいHTML要素 | HTML内の疑わしいオブジェクトをチェック | |
| 疑わしいプログラム | HTML内部でダウンロードできる設置ファイルをチェック | |
| Button Trap | Buttonイベントで全く違うドメインの呼び出しをチェック | |
| 認証情報の入力フォーム | HTML内部で認証情報をリダイレクトチェック | |
| ネットワーク | 別のASへリダイレクション | リダイレクトの場合、別のASをチェック |
| 別の国へリダイレクション | リダイレクトの場合、別の国をチェック | |
| 別のドメインへリダイレクション | リダイレクトの場合、別のドメインをチェック | |
| 疑わしいクッキー | ドメインクッキーの有効性をチェック |
そして、多くのフィッシングサイトが通常の署名ブロックが適用されていないため、Webブラウザのアドレスバーに危険という警告フレーズを入れたり、ウェブブラウザの独自フィルタ機能によって詐欺サイト注意というメッセージを見せたりすることで、フィッシングサイトの危険性を知らせる場合が多いです。
会社がテスト目的で構築した任意のウェブサイトでない場合、以下のような内容を確認したら、フィッシングサイトと疑うべきです。
フィッシングサイトから被害を防止するためには、基本的に以下の内容を承知して行動する必要があります。
- 出所が明確ではないメッセージやリンクは、すぐ削除する
- 電子署名を確認できない、または、類似ドメイン及び発信情報を使用する場合はクリック禁止する
- モバイル、メールクライアント、Webブラウザが提供するすべてのフィッシング防止機能を使用する
- できる限りの全てのアカウントでマルチレベル認証を有効にする
- 客観的な分析結果を得て迅速に対応するために、Criminal IPのドメイン検索を使用する
コメントを残す