ニュース

フィッシングサイトに関する報告が8割増加、一見すると正規サイトのURLに見える不審サイトに注意 JPCERT/CC インデント報告対応レポート

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、2019年7月1日~9月30日に報告を受けたインシデントについてまとめた「インシデント報告対応レポート」を公開した。

 同四半期の報告件数は4618件で、インシデント拡大防止のための調整を行ったのは4149件。前四半期の2019年4~6月期と比較して、報告件数は21%増加し、調整件数は48%増加した。

インシデント報告件数の月別推移
インシデント調整件数の月別推移

通信事業者や金融機関を装ったフィッシングサイトが依然として多い状況

 報告を受けたインシデントをカテゴリー別に見ると、フィッシングサイトが3457件、ウェブサイト改ざんが236件、マルウェアサイトが269件、ポートスキャンが927件、DoS/DDoSが1件、標的型攻撃が6件だった。

インシデントのカテゴリー別割合

 フィッシングサイトの報告件数については、2019年4~6月期の1947件から78%増加した。内訳は、国内ブランドを装ったフィッシングサイトが673件(19%)、国外ブランドを装ったものが1828件(53%)、フィッシングサイト確認時に停止されていたなどの理由によりブランド不明のものが956件(38%)。

 国外ブランドを装ったものではEコマース(73.0%)が大きな割合を占め、国内ブランドを装ったフィッシングサイトでは、通信事業者(43.8%)、金融機関(34.3%)を装ったものが多く確認されている。

フィッシングサイトのブランド種別割合(国内・国外別)

 なお、通信事業者や金融機関を装うフィッシングサイトのドメイン名には以下のようなパターンが使われるケースが多く見られた。

・正規サイトのドメインのドットをハイフンに置き換え、異なるTLDを組み合わせたドメイン(例:「.co.jp」→「-co-jp.xyz」)

・正規サイトのドメインの一部の文字を似た文字に置き換えたドメイン

・1文字足すなど一見して正規サイトに似せたドメイン

 フィッシングサイトへの誘導にはメール以外にSMSが使われているとの報告が増えているという。また、短縮URLサービスを利用してフィッシングサイトへ転送されるケースも依然として多くあった。

偽警告から改ざんされたウェブサイトへ誘導する手口はいまだ健在

 ウェブサイトの改ざんに関する報告は、2019年4~6月期の256件から8%減少した。

 これまでの傾向と同様、ウェブサイトに不正に埋め込まれたコードから、偽のマルウェア感染の警告を表示してサポートへ電話を促す詐欺サイトや、不審なツールのダウンロードを促すウェブサイトなどに転送される事例を確認している。こうした不審なウェブサイトには、次のようなコードが挿入されていた。

挿入されたコード

 このコードは、ウェブサイト上の「.ico」ファイルを参照するためのもので、「.ico」ファイルはPHPコードからなっていた。同コードはWebShellであり、ウェブサイト内のコンテンツを書き換える機能を持つことが確認されている。

コンテンツを書き換える機能

 上記コードにより、</head>タグと</body>タグの直前に任意のコード“$js_code”が挿入される。これにより不審なウェブサイトへ誘導しようとする事例を確認している。

仮想通貨事業者を狙った標的型攻撃を観測

 標的型攻撃に関するインシデントは2019年4~6月期の1件から増加した。確認されたインシデントは以下の通り。

 1.短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃

 仮想通貨事業者を狙ったと考えられる標的型攻撃の報告が6月に寄せられており、攻撃は8月まで継続して発生した。標的型攻撃メールには短縮URLのリンクが記載されており、リンクをクリックするとクラウドサービスからZIPファイルをダウンロードする。同ファイルには、パスワードでロックされたデコイ文書と「Password.txt.lnk」というショートカットファイルが格納されていた。このショートカットファイルにはコマンドが含まれており、実行すると最終的にマルウエアに感染する。

ショートカットファイルからダウンローダーに感染するまでの流れ

 2.オープンソースツール「PoshC2」を使用した標的型攻撃

 8月に複数の組織から報告が寄せられた標的型攻撃では、PowerShellをベースとしたペネトレーションテスト向けのツール「PoshC2」が使用されていた。この攻撃ではGoogle Cloud PlatformやAzureなどの正規クラウドサービスをC2サーバーとして利用していた。