ファビコンハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

ファビコン (Favicon) とは favorites + icon の複合語でウェブサイトを代表するアイコンです。ファビコンが適用されたウェブサイトへアクセスすると、ブラウザのアドレスバーの上のタップでアクセスしたウェブサイトのファビコン（favicon）とタイトル（title）が表します。ほぼ全ての企業や公的機関のウェブサイトとユーザーに提供されるサービスのウェブページでは大方このようなファビコンが適用されています。Criminal IP (https://www.criminalip.io) はウェブサイトのファビコン検索で IP アドレスを照会できる “favicon” フィルターを提供します。Criminal IP のファビコンフィルターを活用すると、特定の IP アドレスを検索でき、偽造されたフィッシングドメイン、攻撃対象領域の漏洩された管理者ページなど、様々な脆弱性まで見つけられます。

ファビコン検索で特定の IP アドレス探し

Criminal IP アセット検索ではファビコンが適用されたウェブサイトの IP アドレスを照会するために、favicon フィルターの後にファビコンハッシュを入力します。特定のファビコンハッシュを計算するには多様な手法があります。Python コード を活用したり、無料で提供される ファビコンハッシュ計算機 を使っても良いです。しかし、Criminal IP はファビコンハッシュアルゴリズム 16 進数を使っていて、上のファビコンハッシュ計算機として確認された 10 進数の値を 16 進数へ変換した後、検索しなければなりません。例えば、ルータの提供会社 MikroTik のファビコンハッシュを検索してみると、MikroTic RouterOS の管理者ページが全て 409,882 件が照会されます。

https://www.criminalip.io/ja/asset/search?query=favicon%3A+72b36155

favicon: 72b36155

Criminal IP のファビコンハッシュ検索で見つけた MikroTik ルータのデバイス IP アドレス

照会された MikroTik RouterOS 検索結果の中であるウェブサイトへアクセスすると、実際 MikroTik ルータの OS ページへアクセスることになります。

ファビコン検索で見つけた MikroTik ルータ OS デバイスの管理者ページ

ファビコンハッシュ検索で偽造されたフィッシングドメイン探し

また、Criminal IP を活用したファビコン検索は偽造されたフィッシングドメインを見つけ出すことができます。

[Criminal IP YouTube – ファビコンハッシュで偽造された PayPal ログインページを見つける方法]

PayPal のファビコンハッシュ値をアセット検索にファビコンフィルターで入力すると、PayPal ファビコンが適用された全ての IP アドレスを照会できます。

https://www.criminalip.io/ja/asset/search?query=favicon%3A+126b479d

favicon: 126b479d

Criminal IP で検索した PayPal のファビコンハッシュの検索結果

照会された全ての IP アドレスに連結されたウェブサイトの中には実際の PayPal ウェブサイトと偽造されたウェブサイトが混在されています。検索範囲を絞るため、追加のフィルターを使って PayPal が所有していない IP アドレスを外せます。AS_Name 除外フィルターを使って “-as_name:PayPal, Inc.” クエリーを追加すると AS_Name が PayPal, Inc. ではない IP アドレスのみを選別できます。

https://www.criminalip.io/ja/asset/search?query=favicon%3A+126b479d+-as_name%3A+PayPal%2C+Inc.

favicon: 126b479d -as_name: PayPal, Inc.

PayPal ファビコンが適用された IP アドレスの中で、PayPal, Inc. が所有していない IP アドレスのみを検索

検索された IP アドレスの中で、あるウェブサイトを確認したところ、実際の PayPal ログインページに似たフィッシングサイトが発見されました。実際の PayPal のログインページに似た形で偽造するため、ファビコンとタイトル、UI を作り出した様子です。しかし、ログイン機能以外、言語の変更、クッキーポリシーなどのボタンは比活性されていて、何よりも SSL 認証ができないため、ウェブサイトの警告が表れています。

favicon フィルター検索で見つけた PayPal の偽造されたログインページ

実際の Paypal ログインページ、偽造された PayPal ログインページとは違う

その他にも CIP Blog レポートでは ファビコンフィルター検索を応用し、攻撃対象領域に漏洩された HFS HTTP File Server を検索する方法を紹介したことがありまして、そのレポートをご参考にするのもおすすめです。

データの提供：Criminal IP (https://www.criminalip.io)

	[Criminal IP’s Official… に Criminal IP: A Cyber… より
	[Criminal IP’s Official… に Criminal IP: A Cyber… より
	[Criminal IP’s Official… に Criminal IP: A Cyber… より
	[Criminal IP’s Official… に RSAC \| Celebratory G… より
	The Alarming Rise of Illegal H… に spycameraindia2022 より

ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

ファビコン検索で特定の IP アドレス探し

ファビコン ハッシュ検索で偽造されたフィッシング ドメイン探し

気に入った記事をシェアする

関連記事

CIP Weekly Blacklist : 5月2週目 フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 5月1週目 フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月4週目 フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月3週目 フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月2週目 フィッシングサイトおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月1週目 フィッシングサイトおよび悪性ドメインの検索語

コメントを残す Cancel reply

ファビコンハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

ファビコンハッシュ検索で偽造されたフィッシングドメイン探し

CIP Weekly Blacklist : 5月2週目フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 5月1週目フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月4週目フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月3週目フィッシングおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月2週目フィッシングサイトおよび悪性ドメインの検索語

CIP Weekly Blacklist : 4月1週目フィッシングサイトおよび悪性ドメインの検索語