ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

ファビコン (Favicon) とは favorites + icon の 複合語で ウェブサイトを 代表する アイコンです。ファビコンが 適用された ウェブサイトへ アクセスすると、ブラウザの アドレスバーの 上の タップで アクセスした ウェブサイトの ファビコン（favicon）とタイトル（title）が表します。ほぼ全ての 企業や公的機関の ウェブサイトと ユーザーに 提供される サービスの ウェブページでは 大方このようなファビコンが 適用されています。Criminal IP (https://www.criminalip.io) はウェブサイトの ファビコン 検索で IP アドレスを 照会できる “favicon” フィルターを 提供します。Criminal IP のファビコン フィルターを 活用すると、特定の IP アドレスを 検索でき、偽造された フィッシング ドメイン、攻撃対象領域の 漏洩された 管理者ページなど、様々な 脆弱性まで 見つけられます。

ファビコン検索で特定の IP アドレス探し

Criminal IP アセット検索では ファビコンが 適用された ウェブサイトの IP アドレスを 照会するために、favicon フィルターの 後にファビコン ハッシュを 入力します。特定の ファビコン ハッシュを 計算するには 多様な手法が あります。Python コード を活用したり、無料で 提供される ファビコン ハッシュ計算機 を 使っても 良いです。しかし、Criminal IP はファビコン ハッシュ アルゴリズム 16 進数を 使っていて、上のファビコン ハッシュ 計算機として 確認された 10 進数の 値を 16 進数へ 変換した後、検索しなければなりません。例えば、ルータの 提供会社 MikroTik のファビコン ハッシュを 検索してみると、MikroTic RouterOS の管理者ページが 全て 409,882 件が 照会されます。

• https://www.criminalip.io/ja/asset/search?query=favicon%3A+72b36155

favicon: 72b36155

Criminal IP のファビコン ハッシュ検索で見つけた MikroTik ルータのデバイス IP アドレス

照会された MikroTik RouterOS 検索結果の中であるウェブサイトへアクセスすると、実際 MikroTik ルータの OS ページへアクセスることになります。

ファビコン検索で見つけた MikroTik ルータ OS デバイスの管理者ページ

ファビコン ハッシュ検索で偽造されたフィッシング ドメイン探し

また、Criminal IP を活用したファビコン検索は偽造されたフィッシング ドメインを見つけ出すことができます。

[Criminal IP YouTube – ファビコン ハッシュで偽造された PayPal ログイン ページを見つける方法]

PayPal のファビコン ハッシュ値をアセット検索にファビコン フィルターで入力すると、PayPal ファビコンが適用された全ての IP アドレスを照会できます。

• https://www.criminalip.io/ja/asset/search?query=favicon%3A+126b479d

favicon: 126b479d

Criminal IP で検索した PayPal のファビコン ハッシュの検索結果

照会された全ての IP アドレスに連結されたウェブサイトの中には実際の PayPal ウェブサイトと偽造されたウェブサイトが混在されています。検索範囲を絞るため、追加のフィルターを使って PayPal が所有していない IP アドレスを外せます。AS_Name 除外フィルターを使って “-as_name:PayPal, Inc.” クエリーを追加すると AS_Name が PayPal, Inc.  ではない IP アドレスのみを選別できます。

• https://www.criminalip.io/ja/asset/search?query=favicon%3A+126b479d+-as_name%3A+PayPal%2C+Inc.

favicon: 126b479d -as_name: PayPal, Inc.

PayPal ファビコンが適用された IP アドレスの中で、PayPal, Inc. が所有していない IP アドレスのみを検索

検索された IP アドレスの中で、あるウェブサイトを確認したところ、実際の PayPal ログインページに似たフィッシング サイトが発見されました。実際の PayPal のログインページに似た形で偽造するため、ファビコンとタイトル、UI を作り出した様子です。しかし、ログイン機能以外、言語の変更、クッキーポリシーなどのボタンは比活性されていて、何よりも SSL 認証ができないため、ウェブサイトの警告が表れています。

favicon フィルター検索で見つけた PayPal の偽造されたログインページ

実際の Paypal ログインページ、偽造された PayPal ログインページとは違う

その他にも CIP Blog レポートでは ファビコン フィルター検索を応用し、攻撃対象領域に漏洩された HFS HTTP File Server を検索する方法を紹介したことがありまして、そのレポートをご参考にするのもおすすめです。

データの提供：Criminal IP (https://www.criminalip.io)