このブログは、数年前にN高等学校を卒業し株式会社Armorisにやってきたアルバイト Kaepi が書いています。
あるもりすぶろぐの内容は個人の意見です。
概要
今回はフィッシングサイトの情報について、twitterで投稿をしている2つのアカウントからデータを取得し、IPや地域情報などの様々な要素の傾向を調べるために、elasticsearch+kibanaでデータの分析と可視化をしてみました。
1. フィッシングサイトの調査をしてみた - データ収集とパース編
2. フィッシングサイトの調査をしてみた - elasticsearch+kibanaを使ってデータの可視化
3. フィッシングサイトの調査をしてみた - 可視化したデータの分析(この記事)
この記事は3回目になります。
elasticsearchとkibanaの構築を解説して、投入したデータの可視化を行いました。集計期間は 2021/11/26 から 12月22日までの約一か月です。
情報元にさせていただいたアカウント
@secbird1
@pingineer_jp
目次
- データからフィッシングサイトの傾向を考える
- フィッシングサイトの対策方法
- まとめ
データからフィッシングサイトの傾向を考える
傾向を考えるにあたって、今回は4つの視点から分析をしてみました。
1. 名前を騙られたブランドについて
2. 国や地域について
3. ドメインやそのレジストラ
4. 総合的な傾向
名前を騙られたブランドについて
今回情報元にしたアカウントでは日本企業のブランドを騙ったフィッシングサイトのみを発信しています。
まずは名前を騙られたブランドの傾向ですが、銀行やクレジットカード、携帯電話の大手キャリアなどが多くみられました。
これは騙された利用者から個人情報(住所や名前、クレジットカードの番号など)を盗み、他の第三者に情報を売ったりクレジットカードを不正に利用し現金化するなど、違法な手段でお金を稼ぐことが目的だからだと考えられます。
国や地域について
次にドメインに割り当てられていた IP アドレスの地域情報を GeoIP のデータを用いて確認すると、約3/4がアメリカでその次に韓国となりました。
これは海外のレンタルサーバに依存した結果となるため、フィッシングサイトを作成している人の国と直接関連するものではないと思われます。
ドメインやレジストラ
ドメインについて
まずフィッシングサイトのドメインの特徴について分析してみます。
また、6個目のdqq-amazon[.]comというドメインやwww.jp.mercari.clppa[.]comなど、フィッシングサイトのドメインにブランド名の一部が含まれるケースでは、.comなどが使われています。
このように使用されているドメインに差がでるのは、フィッシングサイトを作成している攻撃者のスタンスの違いだと考えられます。
前者のようなURLを見ればすぐに偽物だとわかるフィッシングサイトは短時間で大量に作成されており、フィッシングサイト1個あたりのコストが低いと考えられます。
後者のURLにブランド名を含めたり.comドメインを使用する、見分けがつけにくいフィッシングサイトでは現時点で収集したデータを見る限り少数派で、フィッシングサイト1個あたりのコストが高いと考えられます。
レジストラについて
こちらはwhoisをして入手したレジストラの情報です。
.cnのみのようです。
次に多いWeb Commerce Communications Limited dba WebNic.ccでは.comドメインのみで、同じドメインを使いまわして多数のフィッシングサイトが作成されているようです。
また同じような構成のURLで複数ブランドのフィッシングサイトがあることから、同一人物またはグループが様々なブランドのフィッシングサイトを作成している可能性が大きいと思われます。
総合的な傾向
これは11/26~12/21までの25日間でブランドごとの報告数を積み上げ棒グラフにしたものです。
このグラフを見ると2つの特徴が見えるので、それについて分析します。
メルカリのフィッシングサイトについて
メルカリのフィッシングサイトは毎日平均20~30件ほど報告されていて、継続的に攻撃者の攻撃ターゲットとなっている可能性が考えられます。
次に地域とレジストラについて分析します。
レジストラは約半数がWeb Commerce Communications (Singapore) Pte. Ltd. (dba WebNIC)という会社であり、アジアではかなり大手のレジストラのようです。
またこの会社はAlibaba Cloudと連携していて、webホスティングサービスを提供していました。
最後にIPアドレスからフィッシングサイトをホストしているサービスを調べてみました。
12月のはじめあたりから21日までにある緑色のバーは23.95.122[.]118となっており、このIPアドレスを検索してみるとColoCrossingというサービスだということがわかりました。
こちらは先程のWebNICやAlibaba Cloudとはまた別の会社のようですが、格安でWebホスティングができるので利用されていると考えられます。
このことから、今月のメルカリを騙ったフィッシングサイトはWebNICでドメインを取得しColoCrossingでホストされていることが多いということがわかりました。
三井住友カードのフィッシングサイトについて
三井住友カードのフィッシングサイトは12/15以前では報告数が平均20件程度だったのに対し、12/15から一週間後には一日あたり平均70件と大幅に報告数が増えていました。
また、三井住友カードのフィッシングサイトの報告数が多い日はJCBのフィッシングサイトの報告数も増えており、おそらく攻撃者がクレジットカードの締日が近いタイミングを見計らってフィッシングサイトを作成しているものと思われます。
特に目立つのは、急激に報告数が増えた12/16の204.44.75[.]4(緑色のバー)というIPアドレスで、ipinfo.ioというサービスで調べてみたところ、QuadraNet Enterprises LLCというアメリカのホスティングサービスを提供している会社だということがわかりました。
auのフィッシングサイトについて
auのフィッシングサイトは先に挙げたメルカリや三井住友カードのフィッシングサイト報告数にくらべ少ないですが、不定期で一日60~100件と比較的他のサービスよりも多く報告されています。
auのフィッシングサイトに絞ってdiscoverをみると、URLの構成が似ていたりIPアドレスが同じことから、同一人物またはグループが作成したフィッシングサイトであると思われます。
またこれは推測ですが、大量に作成したフィッシングサイトが様々な理由で使用できなくなったら新しくフィッシングサイトを作り直すということを繰り返しているためだと考えます。
また、このようなURLを見ればすぐにわかるフィッシングサイトを大量に作る意図としては、フィッシングサイトのURLなどがGoogle Safe Browsingに報告されることで、このようにブラウザに警告が出るようになるからだと思われます。
なので、Google Safe Browsingにフィッシングサイトとして登録されてもいいように、似た名前のドメインを登録するのではなく、使い捨てのランダムなドメインを使用しているのだと考えられます。
この場合はすぐ使えなくなってもいいように安いドメイン(.top .ga .cfなど)を使用しているようです。
フィッシング被害を防ぐには
フィッシングサイトの被害に遭わないために個人でできることは、フィッシングサイトにアクセスしない・個人情報を入力しないことです。
フィッシングサイトのURLを含む悪意のあるメール・SMSなどを見分ける基準として、
・日本語がおかしい
・個人情報の入力を求める
・緊急や重要などを強調しアクセスを急かす
などがあります。
またIDやパスワードの使いまわしをやめることで、被害を最小限に抑えることができます。
出典・参考資料: フィッシング対策ガイドライン
まとめ
「フィッシングサイトの調査をしてみた」の3回目の記事でした。
IPアドレスから位置情報を取得して地図に並べたり、関連性のありそうな項目を並べてグラフにするなど、大量のデータを集めて可視化をすると見えてくる傾向を調べて分析してみました。
データの取得編と可視化編につづく今回の分析編でこのシリーズは一旦終わりですが、数ヶ月単位でデータが集まって新しい傾向がみえたらまたブログにしようと思います。
ここまで読んでいただきありがとうございました。
