フィッシング
正規ブラウザ拡張機能を利用するフィッシング攻撃を確認
フィッシングは、その有効性からサイバー犯罪における定番の手口となっています。フィッシング攻撃の基本的な仕組みは単純なもので、正規を装ったメールやWebサイトを利用し、疑いを持たないユーザにファイルをダウンロードさせるか、またはリンクをクリックさせるように誘導するというものです。しかし、サイバー犯罪者の戦略はますます巧妙化しています。
フィッシングは、その有効性からサイバー犯罪における定番の手口となっています。フィッシング攻撃の基本的な仕組みは単純なもので、正規を装ったメールやWebサイトを利用し、疑いを持たないユーザにファイルをダウンロードさせるか、またはリンクをクリックさせるように誘導するというものです。しかし、サイバー犯罪者の戦略はますます巧妙化しています。トレンドマイクロは、特徴的な手口を利用したフィッシングページを探す中、検出回避のための隠ぺい手法として正規ブラウザ拡張機能「SingleFile」を利用するフィッシング攻撃を確認しました。
■拡張機能「SingleFile」を悪用して偽のログインページを作成
SingleFileは、「Google Chrome」および「Mozilla Firefox」用のブラウザ拡張機能です。Webページを1つのHTMLファイルとして保存することがが可能です。通常、ブラウザの機能でWebページを保存すると、HTMLファイルの他に画像のようなさまざまなファイルを含むフォルダが作成されます。SingleFileを利用すると、Webページに必要なすべてのファイルを1つのHTMLファイルとして保存できるため、Webサイトの保存などのさまざまな作業を効率化することが可能です。
図1:Chrome版「SingleFile」のオプション
しかしながら、SingleFileは、それを悪用する攻撃者にとっても有用です。トレンドマイクロは、SingleFileを悪用して正規Webサイトのログインページをコピーし、フィッシング攻撃に利用しているサンプルを確認しました。ログインページを生成する方法は非常にシンプルです。
- なりすましの対象とするWebサイトのログインページにアクセスする(トレンドマイクロが確認したサンプルでは支払い処理Webサイト「Stripe」を使用)
- SingleFileを利用して、ページ全体を保存および生成(画像はsvgファイルとして保存される)
上述のようにシンプルな方法ではありますが、本物のログインページと全く同じコピーを生成できるこの偽装方法は非常に効果的です。 以下の図2と図3は、元のページと偽造したページを比べたものです。
図2:元の「Stripe」のログインページ
図3:SingleFileを利用して作成された偽のログインページ
上の2つの図において、明らかに違う部分はURLのみです。 偽のログインページでは、画像はsvgファイルとして保存されています。
図4:base64方式でエンコードされた「.svg」形式の画像ファイルを示すコード
SingleFileは、フィッシング攻撃のためのログインページを偽装する上で非常に効果的です。その理由としては、「document.write(unescape(<文字コードで表現した文字列>))」のようなJavaScriptを使用するその他の難読化手法とは異なり、SingleFileで生成したフィッシングページは、元のログインページで使われているHTMLコードとJavaScriptを静的な検出ツールから隠ぺいするためです。図2、3では、通常見かけないURLによってフィッシングページであることが簡単に分かりますが、ユーザに正規ログインページだと思い込ませるために、攻撃者はより本物に見えるURLを使う可能性もあります。この例としては、アルファベットのlやOと数字の1や0を入れ替えたURLを使用するなどです。 トレンドマイクロが確認したフィッシングページのサンプルは2019年2月10日に保存されていました。このページを利用したメール送信活動は2019年2月27日に開始されています。
図5:SingleFileによって生成されたフィッシングページのソースコード、保存された日付やタイムゾーンなどの情報が含まれている
本記事では、SingleFileが悪意のある目的で使用されていることを解説しましたが、この拡張機能のセキュリティやユーザへの影響は無いことに留意してください。
■被害に遭わないためには
個人および法人は、フィッシング対策のためのベストプラクティスに従うことによって、上述のような攻撃、そして一般的なフィッシングの脅威を最小限に抑えることが可能です。こういった脅威から身を守るために、以下のベストプラクティスに従ってください。
- 通常とは異なるURLを持ったWebウェブサイトは不正なものである可能性が高いと言えます。多くの場合、企業のWebサイトのURLにはその企業の名前、またはブランドの名前が含まれています。
- 一部の攻撃者は公式WebサイトにそっくりなURLを作成するため、訪問したWebサイトが正しいURLを使用しているかどうか再確認する必要があります。これには、検索エンジンを利用して確認するというような簡単な方法があります。
- 信用できる送信元であるかが不確かな場合、ユーザはリンクをクリックしたり、電子メールで受信したファイルをダウンロードしないようにしましょう。
■トレンドマイクロの対策
「Trend Micro Cloud App Security™」は、Webレピュテーション(WRS)技術や機械学習(ML)を利用し、メッセージ本文や添付ファイルに内の不審なURLやコンテンツを検出しブロックします。また、ドキュメントエクスプロイトの検出技術とサンドボックス技術を用いた挙動分析により、マルウェアを検出します。 「Web レピュテーション(WRS)技術は」は、本記事で解説したような隠ぺい手法からユーザを保護します。WRSは、Webサイトの経過日数、配置場所の変更履歴、および不正プログラムの挙動分析により検出された不審な活動の兆候などの要素に基づいてレピュテーションスコアを割り当てることにより、Webドメインの信頼性を追跡します。サイトは継続的に検索され、感染サイトへのユーザアクセスがブロックされます。
■侵入の痕跡
侵入の痕跡はこちらを参照してください。 参考記事:
- 「Phishing Attack Uses Browser Extension Tool SingleFile to Obfuscate Malicious Log-in Pages」 by Samuel P Wang (Fraud Researcher)
翻訳: 下舘 紗耶加(Core Technology Marketing, TrendLabs)