フィッシング
次世代Web3技術を先取りするフィッシング詐欺
トレンドマイクロでは、次世代の「Web3」で注目される「IPFS(InterPlanetary File System)」の悪用を確認しました。日本では「惑星間ファイルシステム」とも呼ばれるこの次世代技術のサイバー犯罪における悪用増加をトレンドマイクロでは観察していますが、本記事では既に認証情報詐取を狙うフィッシング詐欺において相当の規模で悪用されている実態を報告いたします。
現在、ネット上の詐欺手口が広く一般のインターネット利用者に被害を与えています。トレンドマイクロでは常にフィッシング詐欺に代表されるネット詐欺の手口を追っていますが、その中で、次世代の「Web3」で注目される「IPFS(InterPlanetary File System)」の悪用を確認しました。日本では「惑星間ファイルシステム」とも呼ばれるこの次世代技術のサイバー犯罪における悪用増加をトレンドマイクロでは観察していますが、本記事では既に認証情報詐取を狙うフィッシング詐欺において相当の規模で悪用されている実態を報告いたします。
「IPFS」とは?
「Web3」は、次世代のWebとして提唱されている概念であり、分散化やブロックチェーンなどを技術的基盤とする方向性が特徴です。IPFSはP2Pネットワークによる分散ファイルシステム上でのデータ保存と共有を実現する技術と説明されています。IPFSの公式ページではその目的として、将来のWebで現在のHTTPを補完することが謳われており、まさに「Web3」で使用される「次世代の技術」と言えるでしょう。IPFSの大きな特徴としては、コンテンツ指向型のプロトコルであることが挙げられます。これまでのWebで使用されているHTTPは、例えば「Webサーバ「trendmicro.com」内の「ja_jp」フォルダにある「research.html」ファイル」、すなわち、
https://trendmicro.com/ja_jp/research.html
というように、「場所」を指定するプロトコルでした。これに対し、IPFSではCIDというコンテンツの識別子を使って、IPFS上の一意のコンテンツを指定(例: ipfs://<cid>)することになります。またP2Pネットワークによる分散ファイルシステムであることから、IPFSで保存されたファイルは削除が担保されず、アクセス制御も不可であることなども特徴として挙げられます。
このように次世代のWeb3技術と言えるIPFSですが、そのコンセプトは既に2013年の時点で提唱されていました。開発元のProtocol Labによれば、2014年から開発が開始されており、一昨年の2020年には過去最大のアップグレードとされるIPFS 0.5.0が公開されるなど、既にインターネット上で利用可能な技術となっています。実際、保存されたファイルは削除が担保されないというIPFSの特徴を利用し、恒久的なデータ保存を提供するサービスが既に複数運用(例1、例2)されています。OperaなどのWebブラウザがいち早くIPFSプロトコルに対応しており、一般利用者も直接利用可能です。またChromeやEdge、Safariなど現時点でIPFSプロトコル未対応のWebブラウザであっても、下記の例のとおり、IPFSゲートウェイを使用しCIDを指定することでIPFS上のコンテンツにアクセス可能となります。
http[s]://<gateway domain>/ipfs/<CID>
/phishing-web3-technologies/Picture1.jpg)
フィッシング詐欺におけるIPFSの悪用状況
このように既に利用可能な次世代のWeb3技術に、サイバー犯罪者はいち早く目を付けました。IPFS上のフィッシング用コンテンツのURLを、フィッシングメール内の誘導先URLとして悪用していることが確認されています。
/phishing-web3-technologies/Picture2.jpg)
今回はこのIPFSを悪用したフィッシング詐欺の攻撃状況を明らかにするために、トレンドマイクロのクラウド型セキュリティ技術基盤であるSmart Protection Network(SPN)のテレメトリーデータを元に調査を行いました。SPNデータ上でIPFS悪用の手口が初めて確認されたのは今年2022年1月18日、それ以降、検出件数は増加の傾向にあり、11月7日には最大となる7万件以上のアクセスがIPFS上のフィッシングコンテンツに誘導されていました。
/phishing-web3-technologies/Picture3.jpg)
誘導に悪用されたIPFSゲートウェイのホストとしては、開発元であるProtocol Labが提供する「ipfs.io」と正規サービスである「ipfs.fleek.co」で全体の3/4を占めました。中には「ips-fleek-co.translate.goog」のようにGoogle翻訳を介してIPFSゲートウェイへアクセスさせる表示する手口も見られました。このように正規のゲートウェイやサービスが悪用されることで、ドメインベースで一律にブロックするようなWeb対策が困難化します。
/phishing-web3-technologies/Picture4.jpg)
IPFS上でコンテンツを指定するための一意のCIDは、初観測の1月18日から本調査実施日の11月15日までの約10か月間に、3966件を確認しました。これは平均すると毎月約400件のCIDが新たにフィッシングに使われた計算になります。グラフの推移から見ても、特に8月以降に件数の増加傾向が見て取れます。
/phishing-web3-technologies/Picture5.jpg)
フィッシングCIDの使用継続期間は、1日未満が全体の28.1%、1~10日間が44.5%と大半を占めました。ただしこれは8月以降、新規登場件数が拡大しているためとも言えます。逆に、10日を超えて使用されたCIDも27.4%を占めており、中には6か月以上使用されたCIDも確認できました。これはファイルの削除が担保されないIPFSの特徴が、攻撃者にとってはフィッシングサイトの可用性、永続性に繋がっていることを意味するものと言えます。
/phishing-web3-technologies/Picture6.jpg)
また、IPFS上のフィッシングコンテンツへ誘導するフィッシングメールの送信先、つまり攻撃対象となったメールアドレスは45万件以上を確認しました。そのうち、日本を示すjpドメインのメールアドレスは約1800件で全体の3.8%を占めています。
/phishing-web3-technologies/Picture7.jpg)
IPFS上のフィッシングコンテンツに誘導するためのフィッシングメールの件名は多岐にわたっていますが、確認された件数が多いものとしては以下がありました。
Rank |
Subject (Normalized) |
1 |
Host-server notification |
2 |
[WARNING]: The “<EmailAddress>” email account is nearly full |
3 |
Mail delivery failed: returning message to sender |
4 |
You have recieved a file via WeTransfer |
5 |
Password Expiry notice! |
6 |
(7) Pending incoming messages, Clear Cache for <EmailAddress> to fix Errors. |
7 |
Password for <EmailAddress> expires soon from Today <Date> <Time> |
8 |
Mail Account Update |
9 |
IT support <EmailAddress> |
10 |
Authentication error in <EmailAddress> on <Date> <Time> |
上記のトップ10にはまだ日本語の件名は見られておらず、日本の利用者はまだ主たる攻撃対象とはなっていないようです。ただし、多くはありませんが以下のような日本語件名を持つメールも既に確認されており、今後の日本の利用者を狙う攻撃の増加には注意が必要です。
日本語件名例: |
IT アラート、<EmailAddress> のパスワードが侵害されました |
支払い通知を確認する |
[重要] 対応が必要です: メール アカウントで IP Conflict エラーが検出されました |
総括:IPFSを悪用するフィッシング詐欺
このようなフィッシング詐欺におけるIPFSの悪用は、2022年に入ってから始まったばかりです。SPNのデータからは、既に10か月を超えて増加の傾向にあることが明らかになりました。11月の段階でIPFS上のフィッシングURLは全フィッシングURLの3%弱であり、割合としてはまだ少ないように思えます。しかし、今年の頭には存在しなかったことを考えると、フィッシングにおけるIPFSの悪用は、確実に存在感を増しているものと言えます。
/phishing-web3-technologies/Picture8.jpg)
サイバー犯罪者の観点では、分散型で削除が担保されないIPFSの特徴は、テイクダウンからフィッシングサイトなどの不正コンテンツを守り可用性を高めることに繋がっています。また利用者を騙すという意味では、IPFSゲートウェイ経由でアクセスするコンテンツはURLの形式が一様になるため、短縮URLのようにURLから正悪の判断がつきづらくなります。同時に、正規ゲートウェイの悪用により、ドメインで一様にブロックするような技術的対策も行いにくくなります。
このように、サイバー犯罪者にとって利点となる点が多いことからも、今後はさらにIPFSの悪用が増加、拡大していくことが予想されます。インターネット利用者にとっては遭遇の可能性も高まっていく事になりますが、このような新技術の悪用方法の実態を認識することで詐欺に気づけるひとつのきっかけとすることができるでしょう。