パロアルトネットワークス、2018年1月~3月の「フィッシング攻撃に関する総括」を発表
- 2018/06/22 10:30
- SecurityInsight
パロアルトネットワークスは6月21日、2018年1月~3月の「フィッシング攻撃に関する総括」を発表した。その概要は以下のとおり。
●フィッシングURLの統計
2018年の第1四半期には、262件の固有ドメインから4,213件のURLがフィッシング攻撃で使用された。平均すると、1ドメイン当たり16件の異なるフィッシングURLを提供していることになる。
これらのフィッシングドメインの半数以上が、米国でホストされていた。2番目以降に多い国で観測されたドメイン数は米国に比べて少数だった。2番目のドイツは28件、3番目のポーランドは13件だった。また、アフリカおよび南米でもいくつかのフィッシングドメインがホストされていた。
4,213件のフィッシングURLのうちの2,066件は、複数の多様な企業や組織を標的とする、汎用のフィッシング テンプレートを使用していり。例えば、攻撃者はフォームで「chalbhai」という名前と「next1.php」というIDを使用して、Bank of Americaの顧客を標的にしていた。また、同様のテンプレートが、Dropboxの顧客を標的とし、国税庁を騙る税金詐欺の手法に使用されていることも観測されている。
汎用のフィッシング テンプレート以外では、Adobe顧客を標的にしたフィッシングのなりすましページのURLが1,404件、DropBox顧客を標的にしたURLが155件、Facebookユーザーを標的にしたURLが18件、Google Docユーザーを標的にしたURLが442件、Google Driveユーザーを標的にしたURLが108件、Office 365顧客を標的にしたURLが20件あった。
●HTTPSを使用したフィッシングURL
HTTPSを使用したフィッシングURLは識別がより困難であるため、さらに労力を割いて、それらの識別と分析に取り組んだ。4,213件のフィッシングURLのうち、1,010件が46件の固有ドメインからのHTTPS URL。平均すると、1ドメイン当たり21件のフィッシングURLを提供していることになる。
また、46件のドメインの証明書発行者も調査した。「cPanel」が31件のフィッシングドメインの証明書を発行し、「COMODO」および「Let's Encrypt」がそれぞれ6件の異なるフィッシングドメインの証明書を、「Go Daddy Secure」が1件の証明書を発行していた。2件のドメインはすでに使用されていなかった。
Unit 42は、すべてのホスト者および発行者にアクセスした。「Comodo」証明書はGoogleから信頼されておらず、「Go Daddy Secure」から発行された証明書は1つのみだった。
●フィッシング キット
フィッシング攻撃をより効果的にするために、通常、攻撃者は(フィッシング キャンペーンで使用することを目的とした)1つのWebサイトの変更済みファイルを複製してzipファイルにパックし、複数のハッキングしたWebサイトにアップロードする。
このzipファイルは、フィッシングキットの一部とみなすことができる。zipファイルをアンパックして、フィッシング サイトに展開した後、攻撃者によっては、zipファイルをそのまま放置するため、調査研究者はそのファイルにアクセスして、内容を分析することができる。