自社のWebサイトは安全ですか?  -自社を装う不審なWebサイトの調査方法 フィッシング対策編-

1.増え続けるフィッシングサイト

スマートフォンの普及に伴うキャッシュレス決済・QRコード決済・ネットバンキングの利用率増加や、昨今のコロナ禍における巣ごもり消費の増加に伴い、フィッシングサイトの報告件数が昨今増え続けています。

フィッシング対策協議会の発表でも、特に2020年は毎月フィッシングサイトの報告件数や被害件数が毎月増え続けていました。
昨今はテレビのニュースでもフィッシングサイトのことを耳にする機会が増えているため、世間一般でもフィッシングサイトに関する認識は高まっているのではないでしょうか。
また、2020年5月頃には海外のサービスにより無料で取得されたドメインを利用し、多くの日本企業の偽サイトが作成される事案が発生しました。
偽サイトの作成目的・攻撃者の意図については不明ですが、観測された当初はフィッシングサイトではないものの、時間の経過とともにフィッシングコンテンツが立ち上がるという動きも考えられるため、このような偽サイトに対しても予断を許さない状況かと考えています。

今回の記事で自社を騙るWebサイトを調査するいくつかの方法や、実際に不審なWebサイトが観測された際にどのような対策を取ることができるのかについて、記載していきたいと思います。

2.自社を騙るWebサイトを調査する方法

自社を標的としたフィッシングサイトや偽サイトを調査する方法をいくつかご紹介します。

  1. リサーチャーの方々の投稿を参照する
  2. Google Hackingを利用した検索
  3. 調査用ツールPassive Totalを使う
順にご紹介していきたいと思います。

▼1.リサーチャーの方々の投稿を参照する

Twitter上でPhishingサイトの調査情報を投稿されている方々がいらっしゃるため、その情報を参照する方法があります。
多くの投稿にはTwitterのハッシュタグ「#Phishing」が添えられているため、Twitterのツイート検索で「#Phishing」を入力すると、多くの情報が検索結果として表示されると思います。

また、検索結果のうち、日本語が含まれているツイートのみに絞り込む場合は、「lang:ja」を併用すると便利です。
#Phishing lang:ja」というような形になります。

また、上記に加えて自社名などをキーワードとして併用することで、検索結果をより絞り込んでいくことが可能です。

例:マクニカネットワークス #Phishing lang:ja

▼2.Google Hackingを利用した検索

冒頭でご紹介させて頂いた、2020年5月の偽サイト観測事案の際に公開した弊社記事にも記載させて頂いている方法になります。

自社サイトのみで利用されているキーワードと、自社サイトで利用されていないはずのドメインを組み合わせてGoogle検索を行うことで、第三者により作成された偽サイトを抽出できる可能性があります。

例:
"マクニカネットワークス" AND "会社概要" AND (site:.gq OR site:.tk OR site:.cf OR site:.ml OR site:.ga OR site:.mem OR site:.fun OR site:.review OR site:.data OR site:.zip OR site:.country OR site:.kim OR site:.cricket OR site:.science OR site:.xyz)

( )内の OR site: 条件に、自社で保有していない
TLDを追記していくことで、より広範囲に偽サイトを抽出できる可能性があります。

Googleを使用した検索方法になるため、無償で調査を実施できますが、自社運営でもなく悪性でもないサイトが検索にヒットする可能性があります。
そのため、自社運営以外の各種メディア(ニュースサイト等)がコピーされていた場合でも、そのサイトがヒットする可能性もあるため、検索結果の個別確認が必要となります。

その際、検索でヒットしたサイトが不正サイトの可能性もあるため、閲覧する場合は検証用環境からアクセスする等の注意が必要です。


▼3.調査用ツール
Passive Totalを使う

Passive TotalはRiskIQ社によって提供されている調査用ツールです。RiskIQ社はインターネット上での名前解決結果の観測情報、インターネット上に公開されているあらゆる情報をデータベースに蓄積しています。

蓄積されたデータをもとに、データ間の繋がりを深堀りしやすい形で提供するプラットフォームがPassive Totalです。ユーザアカウントの登録により無償版の利用も可能です。
Passive Totalには以下のリンクからアクセス可能です。
https://community.riskiq.com/research


アクセス後に表示される画面では、RiskIQ社による様々な脆弱性等に関する記事が公開されており、ユーザ登録をしていない状態でも一部ご覧いただくことが可能です。

ユーザ登録については、画面右上のRegisterボタンから進めます。


▼調査方法

フィッシングサイト、偽サイトの調査は上記とは別のページで実施します。


画面右上の Use PT Classic にアクセスします。


アクセス直後の画面は図のような見た目となっています。

有償/無償版で一部表示情報が異なる部分もありますが、トップページにはユーザ自身の検索履歴や、チーム(企業)の他のユーザの検索履歴、またProjectと呼ばれる特定の設定条件に一致する、インターネット上で観測された情報を蓄積していく機能の画面が表示されます。

調査したいFQDNやIPアドレスの情報をフォーム欄に入力し、表示される様々な情報を画面上でクリックしていくことで、深堀していくような流れで調査を行います。

調査方法としては以下の2つがあります。

1.実際に観測されたフィッシングサイトの情報をもとに深堀する方法
2.自社のWebサイトの情報をもとに深堀する方法

▼実際に観測されたフィッシングサイトの情報をもとに深堀する方法

まずは実際に観測されたフィッシングサイトの情報をトリガーとして、他にもフィッシングサイトが作成されていないか調査を行っていく方法をご説明します。

ある企業を騙るフィッシングサイトが作成された際、同一のIPアドレスに複数のWebサイトが紐づけられていることが、一般的な傾向として散見されます。稼働しているWebサーバは1つであるのに対して、マルチドメインの技術を用いて、アクセス先のURLによって表示させるフィッシングサイトを変えているパターンです。


1.フィッシングサイトの情報収集

今回ご紹介する手順では、先ほどご紹介したTwitter上で報告されているフィッシングサイトの情報をもとに、ドリルダウンしていきたいと思います。

まずは、Twitterで「#Phishing lang:ja」と検索を行い、任意のフィッシングサイトのURLをピックアップします。

2.フィッシングサイトのURLをPassive Totalで検索

Passive Totalの検索フォーム欄に、フィッシングサイトのFQDNを入力します。


3.DATA -> ResolutionタブにてIPアドレスをクリック


フィッシングサイトのFQDNを入力すると、上図のような画面が表示されます。
HEATMAPの部分では、対象のFQDNの稼働状況や、紐づいているIPアドレスの数が表示されます。

DATA -> Resolutionタブでは、FQDNに紐づいているIPアドレスや、IPアドレスが初めて観測された日付・最後に観測された日付などの情報が表示されます。

同じIPアドレスに紐づいている他のFQDNのドリルダウンを行うために、Resolve列に表示されているIPアドレスをクリックします。

4.DATA -> Resolutionタブに表示されるFQDNを確認



手順3でIPアドレスをクリックすると上図のような画面が表示されます。
HEATMAPの部分では、対象のIPアドレスの稼働状況や、先ほどとは逆にIPアドレスに紐づいているFQDNの数が表示されます。

今回のフィッシングサイトの場合、2021年1月27日にある企業を標的としたフィッシングサイトが立ち上がった後、翌日の1月28日には複数の別の企業を標的としたフィッシングサイトが立ち上げられていたことがわかります。

このように、1つのIPアドレスに対して複数の企業を標的としたフィッシングサイトが紐づけられていることは往々にしてあるため、観測されたURL情報をもとにそのIPアドレス、そのIPアドレスに紐づけられている他のFQDNをドリルダウンしていくことは調査方法の1つとして有効となります。

実際に観測されたフィッシングサイトの情報をもとに深堀していく方法は以上となります。

▼自社のWebサイトの情報をもとに深堀する方法

次に、自社のWebサイトの情報をもとにフィッシングサイトの有無について深堀していく方法をご紹介します。

Google Analytics等、SEO/マーケティング等で使われるようなスクリプトなどの固有のID情報を参照する方法になります。フィッシングサイトが攻撃対象の企業のWebサイトを模倣する際に、上述のような固有ID情報もフィッシングサイトに埋め込まれる場合、固有のID情報をトリガーとして、他に埋め込まれているサイトが無いかを確認していくような深堀方法になります。

手順

1.自社WebサイトのFQDNをPassive Totalで検索し、Trackersタブに遷移


Trackersタブの画面はこのように表示されます。検索を行ったFQDNやドメインのホスト上に埋め込まれている、トラッキング用のスクリプトのサービスの種類がType列に、一意の識別子の値がValue列に表示されます。

2.Valueの値をクリックし、対象のトラッカー情報が埋め込まれている他のWebサイトを一覧表示


Valueの値をクリックすると、その識別子のトラッカー情報が埋め込まれているWebサイト一覧が表示されます。

この一覧の中から、FQDN内に「自社関連のキーワード+任意の文字列」であったり、
一見自社のドメインに見えるような文字列となっている(例: macnica.net → rnacnica.net)ような、不審なFQDNが無いかを確認していくような方法となります。

3.フィッシングサイトへの対応

次に、フィッシングサイトを見つけた後に行うべき対応についてです。

▼利用者への注意喚起

自社公式Webサイト上やその他あらゆる手段でフィッシングサイトに関する注意喚起を行い、利用者の被害を防ぐ必要があります。自社のドメインは <○○> であるため、合致しないサイトにはご注意ください、というような注意書きも最近ではよく見るようになった気がしています。

▼Google Safe Browsing, Microsoft Smartscreenへの通報

利用者の被害を防ぐための手段として、フィッシングサイトへのアクセスをブロックするという方法もあります。ブラウザが参照しているブラックリストに登録されているサイトにアクセスを試行する際、ブラウザ側で警告画面を表示してくれます。

以下のような通報窓口があるので、そこにフィッシングサイトの情報を報告する形になります。
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=ja

▼フィッシングサイトのテイクダウン要請

フィッシングサイトの差し押さえ、稼働を停止させることをテイクダウンと呼びます。
フィッシングサイトのホスティング先のサービスプロバイダにや、ドメインのレジストラに対して削除依頼のメールを送る形になります。

Passive Totalの画面ではWhois情報を参照することも可能ですので、フィッシングサイトのIPアドレスのWhois情報などから通報先の情報を確認し、メールを作成します。しばしば海外のプロバイダにフィッシングサイトがホスティングされていることもあるため、多くの場合英語でメールを作成する形になるかと思います。

4.フィッシングサイトの自動検出・テイクダウン効率化

Passive Totalを使い、実際に観測されたフィッシングサイトの情報をもとに深堀する方法や、自社のWebサイトの情報をもとに深堀する方法、またフィッシングサイトを発見した際の対応についてご説明してまいりました。

  • 実際に観測されたフィッシングサイトの情報をもとに深堀する方法:Resolutionsタブの情報をもとにドリルダウン
  • 自社のWebサイトの情報をもとに深堀する方法:Trackersタブの情報をもとにドリルダウン

今回ご紹介したPassive Totalを利用したフィッシングサイトの調査方法や、フィッシングサイト発見時の対応は、どうしても人的なリソースがかかる作業でもあります。

Passive Totalを提供しているRiskIQ社の他の製品群では、フィッシングサイトをイベントという形で自動的に検知することが可能です。検知されたイベントは製品のUI上に表示され、数クリックの操作でテイクダウンメールを送信することや、画面上でのメールの履歴の管理が可能です。

フィッシングサイトの調査や対応の負荷を軽減できるものとなっていますので、ご興味ある方はぜひお問い合わせ頂けたら幸いです。

●RiskIQIntelligenceサービス
RiskIQ製品ご紹介~フィッシング関連資料~をダウンロードください。
資料ダウンロードはこちら.JPG
メルマガ登録バナー(セキュリティ).jpg

ランキング