ニュース
文字列「cojp」の後にgTLD「.com」を付けた金融機関系フィッシングサイトなど多数確認、JPCERT/CC インデント報告対応レポート
2019年4月12日 17:54
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、2019年1月1日~3月31日に報告を受けたインシデントについてまとめた「インシデント報告対応レポート」を公開した。
同四半期の報告件数は4433件で、インシデント拡大防止のための調整を行ったのは2916件。前四半期の2018年10~12月期と比較して、報告件数は5%増加し、調整件数は13%増加した。
通信事業者を装ったフィッシングサイトの大半は台湾のIPアドレス上で稼働、ほとんどが中国のレジストラで取得
報告を受けたインシデントをカテゴリー別に見ると、ポートスキャンが2165件、フィッシングサイトが1753件、ウェブサイト改ざんが229件、マルウェアサイトが136件、DoS/DDoSが13件、標的型攻撃が6件だった。
ポートスキャンの報告件数については、2018年10~12月期の1677件から29%増加した。頻繁にスキャン対象となったポートはSSH(22/TCP)が731件、HTTP(80/TCP)が298件、microsoft-ds(445/TCP)が260件だった。
フィッシングサイトは、2018年10~12月期の1560件から12%増加した。内訳は、国内ブランドを装ったフィッシングサイトが258件(15%)、国外ブランドを装ったものが1198件(68%)、フィッシングサイト確認時に停止されていたなどの理由によりブランド不明のものが297件(17%)。
国内ブランドを装ったフィッシングサイトでは、通信事業者(47.7%)、金融機関(31.0%)を装ったものが多く確認された。
金融機関を装ったフィッシングサイトは、ブランド名の後ろに「co」や「cojp」などの文字列を加えたものに「.com」「.org」などのgTLD(分野別トップレベルドメイン名)や、「.eu」「.it」「.za」などのccTLD(国別トップレベルドメイン名)を組み合わせたものが使用されていた。これらのウェブサイトの中には定期的に稼働と停止を繰り返すものがあった。
通信事業者を装ったフィッシングサイトの大半が台湾のIPアドレス上で稼働していた。ドメイン名は正規サイトと似せており、そのほとんどが中国のレジストラで取得されていた。
一方、国外のフィッシングサイトではEコマースサイトを装ったものが全体の8割近くを占めていた。フィッシングサイトは約半数が「.com」ドメインを使用しており、日本語TLDの「.コム」を使用したものもあった。
改ざん済みのウェブサイトから転送、不審なソフトなどをダウンロード
ウェブサイト改ざんの報告件数は、2018年10~12月期の242件から5%減少した。
改ざんされたウェブサイトから「https[:]//somelandingpage[.]com/3gGykjDJ?frm=script&」というURLを経由し、不審なウェブサイトに転送されるといった報告が2019年2月ごろから複数寄せられた。同URLへの転送は、改ざんされたウェブサイトの至る所に埋め込まれたJavaScriptによって行われていた。
改ざんされたウェブサイトからの転送先として、不審なブログサイトやソフトをダウンロードさせるウェブサイトがあった。転送先のURLは「http://<ドメイン名>.tk/index/?<数字の列>」など、「.tk」ドメインのURLを持つものも含む、複数のウェブサイトを経由する特徴があった。
標的型攻撃については、JavaScriptで作成されたマルウェアに感染させる攻撃の報告が同年1月ごろに寄せられた。このマルウェアはNode.jsを使って動作しており、HTTPでC&Cサーバーと通信する。C&Cサーバーから受信する命令により、任意のコマンドの実行やファイルのアップロード/ダウンロード、感染した端末の情報を送信する可能性がある。
ペネトレーションテストツール「Cobalt Strike」を悪用した攻撃も確認されている。Cobalt StrikeはHTTP、HTTPSのほか、DNSプロトコルを利用してC&Cサーバーと通信する機能を持っており、今回確認された攻撃ではDNSのAレコードの問い合わせと応答を用いてC&Cサーバーと通信を行っていた。