TOPセキュリティ > なぜ騙されてしまうのか、巧妙化するフィッシング(上)

セキュリティ

なぜ騙されてしまうのか、巧妙化するフィッシング(上)

2019/12/16

Josh Fruhlinger CSO

フィッシングキットとは

 技術スキルに乏しいサイバー犯罪者でも、フィッシング攻撃のキャンペーンを簡単に展開できるのは、フィッシングキットのおかげだ。フィッシングキットには、フィッシングで使う偽サイトのリソースや各種のツールが揃っていて、サーバーにインストールすれば使える。あとはメールをばらまいて、被害者が出るのを待てばよい。フィッシングキットや、メールアドレスのリストは、ダークウェブで手に入る。「PhishTank」や「OpenPhish」のように、既知のフィッシングキットのリストをクラウドソーシングで取りまとめているサイトもある。

 フィッシングキットの中には、有名な企業やブランドの名をかたって攻撃を行うためのキットもある。信頼できそうな企業の名前を出す方が、偽リンクをクリックする可能性が高まる。米Akamai Technologiesの調査レポート「Phishing - Baiting the Hook」によると、「Microsoft」の名前を使うキットは62種類、「PayPal」は14種類、「DHL」は7種類、「Dropbox」は11種類だった。

 また、米Duo Labsのレポート「Phish in a Barrel」には、同じフィッシングキットが複数のホストで稼働していた事例についてのデータが出ている。同社が確認したフィッシングキット3200種類のうち900種類(27%)は、複数のホストで稼働していたという。だが、実際の数はもっと多いかもしれない。その理由についてレポートには次のように説明がある。「重複稼働の割合があまり大きくなかった理由として考えられるのは、同一のキットかどうかの比較に、キットの中身のSHA1ハッシュ値を使ったことだ。この場合、キットの中の1つのファイルが1カ所だけ異なっていても、別々のキットと判断してしまう。あとはまったく同じだったとしてもだ」

 フィッシングキットを分析することで、攻撃の黒幕を追跡可能だ。レポートは次のように述べている。「フィッシングキットの分析から得られる情報で特に有益なのは、クレデンシャルがどこに送られているかだ。フィッシングキットの中で見つかったメールアドレスを追跡していくと、脅威アクターを特定のキャンペーンや特定のキットと関連づけることができる。クレデンシャルの送信先に加え、送信元として記載されているアドレスも確認できる。フィッシングキットの開発者は、Fromヘッダーを署名カードのように使う習性があり、これにより同じ作者が開発した複数のキットも分かる」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ