ボット判定サービス,HTTPのBasic認証を悪用するフィッシングを観測 / 最新版「フィッシングトレンド」

ツイート

TwoFive、「フィッシングトレンド」レポート最新版を発表
2024年7月～12月 調査結果
…………………………………………………………………
HTTPのBasic認証情報を含むURLを使ったフィッシングメールを観測
サイト訪問者が人間であることを確認するボット判定サービスを悪用するフィッシングサイトを観測

メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive（本社：東京都中央区、代表取締役 末政 延浩）は、「フィッシングトレンド」レポートの2024年7月～12月版を発表しました。
同レポートは、SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、迷惑メール、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知した結果をまとめたもので定期的に公開しています。


●フィッシングに悪用されたブランド
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
今回の調査では、前回の調査結果に引き続きECサイトやクレジットカード会社を騙るフィッシングが多く検出されました。


●フィッシングに利用されているeTLD (effective TLD)
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
前回の調査に引き続き、今回も「cn」、「com」、「duckdns.org」が上位を占めている他、「top」、「net」、などといったGeneric TLD (gTLD)の利用が多く見られました。
前回調査では、Cloudflare社が提供するCloudflare Workersというホスティングサービスを利用した「workers.dev」というeTLDが多数検出されていましたが、今回の調査では検出数が減少しています。
9月にはジョージアの国別コードトップレベルドメイン(ccTLD)である「ge」、「com.ge」の利用が見られましたが、その後減少しています。


●フィッシングに利用されているホスティング事業者
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
今回の調査では、前回の調査から引き続き中国や香港などアジア圏の利用がさらに増加し、大半を占めています。
一時的に検出が増加するホスティング事業者があるため、攻撃者はフィッシングサイトを設置しやすいホスティング事業者を常に探していると推測されます。


●URLにBasic認証情報が含まれたフィッシング
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
今回の調査では、HTTPのBasic認証機能を利用したURLを含むフィッシングメールが観測されました。Basic認証はWebサイトにアクセス制限をかける認証方式の一つで、最も簡易的なものです。例えば、ユーザー名が「username」、パスワードが「password」とBasic認証が設定されたWebサイトがある場合、「https://username:password@example.com」というURLでアクセスすれば、ユーザー名とパスワードを入力しなくても認証をパスさせることができます。

調査では、ユーザー名部分に有名ブランドのドメインを用いたURLが観測されました。例えば「https://example.co.jp@●●●●●.com」というURLは、ブランドサイト「example.co.jp」へアクセスするURLかと思わせますが、ブラウザに入力すると実際には「●●●●●.com」へアクセスを行います。このURLの「example.co.jp」は、Basic認証でユーザー名/パスワード省略でアクセスするURLの「ユーザー名：パスワード」に当たる部分であるからです。
また、URLにBasic認証情報があるものの、フィッシングサイトは当然Basic認証には対応していません。そのような場合Basic認証情報は使用されず、通常のWebコンテンツ取得が行われます。
Basic認証機能の悪用は、メールなどに記載されたURLを見分けようとする人を騙す手法であり、問題のない正規のURLと見間違えてリンクを開いてしまうことを狙っていると思われます。


●ボット判定サービスを用いたフィッシングサイト
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
今回の調査では、正規のボット判定サービスを利用したフィッシングサイトが観測されました。ボット判定サービスは、Webサイトに埋め込まれたJavaScript経由でAPIが呼び出されることにより、接続元のユーザーがクローラーなどのボットであるか、人間であるかを判定します。フィッシングサイトでは人間からのアクセスと判定した場合のみ、フィッシングコンテンツを表示します。
例えば、コンテンツ配信ネットワーク（CDN）などのインフラやインターネットセキュリティサービスなどを手掛ける米Cloudflare社は「Turnstile」、「Managed Challenge」というボット判定サービスを提供しています。今回の調査では、Managed ChallengeサービスのHTMLをコピーし、ボット判定画面だけ本物のTurnstileを用いるフィッシングサイトが見られました。

ボット判定画面を見せることにより、あたかもセキュリティ対策を行っているページであるとユーザーを信用させると共に、検索サービスやフィッシングサイト検知サービスのクローラーによるアクセスを排除し、フィッシングサイトの検知を遅らせることが目的と思われます。


※グラフ、画面入りのレポートを以下からダウンロードしていただけます。
https://www.twofive25.com/download/phishing_trend_202501/


◆TwoFiveの「フィッシングトレンド」調査について
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自調査しています。
そのため、TwoFiveもメンバーであるフィッシング対策協議会が定期的に発表する報告件数に基づく「フィッシング報告状況」とは、件数、内容などが異なります。
また、攻撃者は、IDの盗用やクレジットカードを不正利用するために、メールやSMSで詐欺メッセージを配信しフィッシングキャンペーンを実行する前に、予備調査により詐取方法や対象を検討して、ドメイン確保やDNS設定、Webサーバー構築やフィッシングコンテンツの設定、SSL証明書やドメインなどのリソースを準備します。TwoFiveの調査では、フィッシングキャンペーン実行前の準備段階を含めて情報を収集し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知するのが特長です。

━◆ 報道関係者 お問い合わせ ◆━━━━━━
株式会社TwoFive
担当：渋谷
Email：info@twofive25.com TEL：03-5704-9948