自社のWebサイトは安全ですか?  -自社を装う不審なWebサイトの調査方法 フィッシング対策編-

1.増え続けるフィッシングサイト

スマートフォンの普及に伴うキャッシュレス決済・QRコード決済・ネットバンキングの利用率増加や、昨今のコロナ禍における巣ごもり消費の増加に伴い、フィッシングサイトの報告件数が昨今増え続けています。

フィッシング対策協議会の発表でも、特に2020年は毎月フィッシングサイトの報告件数や被害件数が毎月増え続けていました。

昨今はテレビのニュースでもフィッシングサイトのことを耳にする機会が増えているため、世間一般でもフィッシングサイトに関する認識は高まっているのではないでしょうか。

また、2020年5月頃には海外のサービスにより無料で取得されたドメインを利用し、多くの日本企業の偽サイトが作成される事案が発生しました。


偽サイトの作成目的・攻撃者の意図については不明ですが、観測された当初は
フィッシングサイトではないものの、時間の経過とともにフィッシングコンテンツが立ち上がるという動きも考えられるため、このような偽サイトに対しても予断を許さない状況かと考えています。

今回の記事で自社を騙るWebサイトを調査するいくつかの方法や、実際に不審なWebサイトが観測された際にどのような対策を取ることができるのかについて、記載していきたいと思います。

2.自社を騙るWebサイトを調査する方法

自社を標的としたフィッシングサイトや偽サイトを調査する方法をいくつかご紹介します。

  1. リサーチャーの方々の投稿を参照する
  2. Google Hackingを利用した検索
  3. 調査用ツールPassive Totalを使う
順にご紹介していきたいと思います。

▼1.リサーチャーの方々の投稿を参照する

Twitter上でPhishingサイトの調査情報を投稿されている方々がいらっしゃるため、その情報を参照する方法があります。
多くの投稿にはTwitterのハッシュタグ「#Phishing」が添えられているため、Twitterのツイート検索で「#Phishing」を入力すると、多くの情報が検索結果として表示されると思います。

また、検索結果のうち、日本語が含まれているツイートのみに絞り込む場合は、「lang:ja」を併用すると便利です。
#Phishing lang:ja」というような形になります。

また、上記に加えて自社名などをキーワードとして併用することで、検索結果をより絞り込んでいくことが可能です。


例:マクニカネットワークス #Phishing lang:ja

▼2.Google Hackingを利用した検索

冒頭でご紹介させて頂いた、2020年5月の偽サイト観測事案の際に公開した弊社記事にも記載させて頂いている方法になります。


自社サイトのみで利用されているキーワードと、自社サイトで利用されていないはずのドメインを組み合わせてGoogle検索を行うことで、第三者により作成された偽サイトを抽出できる可能性があります。


例:
"マクニカネットワークス" AND "会社概要" AND (site:.gq OR site:.tk OR site:.cf OR site:.ml OR site:.ga OR site:.mem OR site:.fun OR site:.review OR site:.data OR site:.zip OR site:.country OR site:.kim OR site:.cricket OR site:.science OR site:.xyz)


( )内の OR site: 条件に、自社で保有していない
TLDを追記していくことで、より広範囲に偽サイトを抽出できる可能性があります。


Googleを使用した検索方法になるため、無償で調査を実施できますが、自社運営でもなく悪性でもないサイトが検索にヒットする可能性があります。
そのため、自社運営以外の各種メディア(ニュースサイト等)がコピーされていた場合でも、そのサイトがヒットする可能性もあるため、検索結果の個別確認が必要となります。


その際、検索でヒットしたサイトが不正サイトの可能性もあるため、閲覧する場合は検証用環境からアクセスする等の注意が必要です。



▼3.調査用ツール
Passive Totalを使う

Passive TotalはRiskIQ社によって提供されている調査用ツールです。RiskIQ社はインターネット上での名前解決結果の観測情報、インターネット上に公開されているあらゆる情報をデータベースに蓄積しています。

蓄積されたデータをもとに、データ間の繋がりを深堀りしやすい形で提供するプラットフォームがPassive Totalです。ユーザアカウントの登録により無償版の利用も可能です。


Passive Totalには以下のリンクからアクセス可能です。
https://community.riskiq.com/research


アクセス後に表示される画面では、RiskIQ社による様々な脆弱性等に関する記事が公開されており、ユーザ登録をしていない状態でも一部ご覧いただくことが可能です。

ユーザ登録については、画面右上のRegisterボタンから進めます。


▼調査方法

フィッシングサイト、偽サイトの調査は上記とは別のページで実施します。


画面右上の Use PT Classic にアクセスします。


アクセス直後の画面は図のような見た目となっています。

有償/無償版で一部表示情報が異なる部分もありますが、トップページにはユーザ自身の検索履歴や、チーム(企業)の他のユーザの検索履歴、またProjectと呼ばれる特定の設定条件に一致する、インターネット上で観測された情報を蓄積していく機能の画面が表示されます。

調査したいFQDNやIPアドレスの情報をフォーム欄に入力し、表示される様々な情報を画面上でクリックしていくことで、深堀していくような流れで調査を行います。

調査方法としては以下の2つがあります。

1.実際に観測されたフィッシングサイトの情報をもとに深堀する方法
2.自社のWebサイトの情報をもとに深堀する方法

▼実際に観測されたフィッシングサイトの情報をもとに深堀する方法

まずは実際に観測されたフィッシングサイトの情報をトリガーとして、他にもフィッシングサイトが作成されていないか調査を行っていく方法をご説明します。

ある企業を騙るフィッシングサイトが作成された際、同一のIPアドレスに複数のWebサイトが紐づけられていることが、一般的な傾向として散見されます。稼働しているWebサーバは1つであるのに対して、マルチドメインの技術を用いて、アクセス先のURLによって表示させるフィッシングサイトを変えているパターンです。


1.フィッシングサイトの情報収集

今回ご紹介する手順では、先ほどご紹介したTwitter上で報告されているフィッシングサイトの情報をもとに、ドリルダウンしていきたいと思います。

まずは、Twitterで「#Phishing lang:ja」と検索を行い、任意のフィッシングサイトのURLをピックアップします。

2.フィッシングサイトのURLをPassive Totalで検索

Passive Totalの検索フォーム欄に、フィッシングサイトのFQDNを入力します。


3.DATA -> ResolutionタブにてIPアドレスをクリック


フィッシングサイトのFQDNを入力すると、上図のような画面が表示されます。
HEATMAPの部分では、対象のFQDNの稼働状況や、紐づいているIPアドレスの数が表示されます。

DATA -> Resolutionタブでは、FQDNに紐づいているIPアドレスや、IPアドレスが初めて観測された日付・最後に観測された日付などの情報が表示されます。

同じIPアドレスに紐づいている他のFQDNのドリルダウンを行うために、Resolve列に表示されているIPアドレスをクリックします。

4.DATA -> Resolutionタブに表示されるFQDNを確認