実在する企業やサービス、ブランドの名前を使って本物そっくりのサイトを作り、なりすましメールをばらまいてユーザーを誘導し、ID やパスワード、クレジットカード番号などの情報を盗み取るフィッシング詐欺は、十数年にわたってインターネットの利用者を危険にさらし、今なお横行し続けている。
フィッシング対策協議会のまとめでは、フィッシングの報告件数は 2023 年初めにいったん減少したかに見えたもののその後急増し続け、2023 年 6 月には前月より 3 万 5000 件以上多い約 15 万件ものフィッシングが報告された。こうした高止まり傾向を受け、情報処理推進機構(IPA)の「十大脅威」においても、個人の脅威として毎年上位にランクインしている。
受信側では長年に渡り、「不審なメールは開かないようにしよう」という教育を実施してリテラシー向上を図ったり、レピュテーションなどさまざまな技術を駆使してフィルタリングするツールを導入するなど、手元に届くフィッシングメールやなりすましメールを減らそうと努力を重ねてきた。
また、業界では SPF や DKIM、そして DMARC といった送信ドメイン認証の技術仕様を策定し、官民挙げて普及促進に尽力しており、なりすましメールが手元に届かないようコントロールする仕組みの整備が進み成果も現れ始めている。
DMARC などの送信ドメイン認証技術により、正規ドメインになりすまして送信されたフィッシングメールを見破り、受信時に制御することができる。そして、DMARC普及促進の旗振り役として啓発活動に尽力してきた第一人者である TwoFive は、さらに早期に対応するための対策として、フィッシングメールが送られる前に、犯罪者の動きからフィッシングサイトを検知するクラウドサービス「PHISHNET/25」を今年 6 月に提供開始した。
●ブランド保護を困難にする 3 つのなりすまし手法
まず、正規ドメインをなりすます手法として、手の込んだ 3 つの手法を紹介する。
一つは「類似ドメイン」の悪用だ。0(ゼロ)と O(大文字のオー)、m(エム)と nn(エヌエヌ)といった具合に見間違いしやすい文字列を使ったり、入力ミスを見越した文字列を使ったりしてユーザーを誘導する。「タイポスクワッティング」や、最近では「ドッペルゲンガードメイン」と呼ばれることもある手法だが、「そもそも攻撃者が悪用するための類似ドメイン名を取得しているため、防御するのが困難な手口の一つです」(加瀬氏)
二つ目は「ランダムドメイン」だ。そもそも最初から本物のブランド名に似せようとすらせず、ランダムな文字列を使ったドメイン名を取得して詐欺を働く。差出人情報として表示される Display name を詐称したり、誘導先 Webページで本物のサイトからコピーした画像やロゴを用いてユーザーをだまそうと試みるもので、これも攻撃者自身がそのドメイン名を取得しており、さらに驚くほど頻繁に新しいランダムドメインを生成して攻撃してくるため、従来的なブロッキングでは対応が難しい。
三つ目は「レベルスクワッティング」だ。ここでは、早い者勝ちであるドメイン名の取得を逆手に取り、転売目的で有名ブランドなどを含むドメインを取得する当初の定義からさらに広がり、一つ目、あるいは二つ目の手法で取得したドメイン名のサブドメインとして、正規のサイト名に似た文字列を設定する手法を指す。「利用者は一般に、左側から順に URL の文字列を見て正しいものかどうかを判断してしまいがちです。その傾向を逆手に取った手法です」(加瀬氏)。
あくまで試算の一つだが、TwoFive が手元のデータでなりすましメールの手法を分類したところ、通数ベースで見ると、DMARC によってかなりの程度のなりすましメールは検知し、保護できることがわかった。ただ、類似ドメインやランダムドメインを用いたなりすましメールも皆無ではなく、某日の通報データを分析した結果では全体の 10 %弱を占めており、決して無視できる比率ではない。
何より、「受信側のフィッシング対策は比較的進んでおり、あとはどれを選んで実装するかという段階にきています。一方で、自分たちのサイトやブランドをなりすまされる送信側には、防御や対応の手段がなかなかありません。自分たちのブランドにフォーカスして守っていきたいという要望に応える必要があると思っています」(代表取締役社長、末政 延浩 氏)という。
●日本のブランドをかたるフィッシングサイトを早期に検知し、先手での対策を支援
こうした背景から TwoFive は 2023 年 6 月 26 日に、フィッシングサイト検出サービス「PHISHNET/25」をリリースした。「一言で表現すると、日本のブランドをかたったフィッシングサイトを収集・検知するクラウドサービスです」(加瀬氏)
TwoFive はこれまで主に、セキュリティフィルタリングや DMARC の導入支援、あるいは DMARCレポートの解析サービスなどを通して、フィッシング対策、なりすましメール対策を推進してきた。今回の PHISHNET/25 は、なりすましをされる側が先手を打って対策を取れるよう支援するサービスである。
フィッシングサイトはある日突然出現するように思えるが、偽サイトを用意する攻撃者にはさまざまな「準備」が必要だ。まずドメイン名を取得し、DNS設定を行い、HTTPS通信が当たり前となっていることからサーバー証明書を作成し……と、さまざまなリソースを準備したうえではじめて、フィッシングサイトが公開される。
そこで PHISHNET/25 では、セキュリティ対策に活用される OSINT(オープンソースインテリジェンス)だけではなく、TwoFive が独自に収集している情報、流通しているメッセージなど、さまざまなデータソースに基づく情報や Webクローリングを通して得た情報を独自のロジックで分析・判定し、アクティビティを観察して、フィッシングサイトを検知・通報する。なりすましされた企業・ブランド側では、実際に悪用に至る前に早期に注意喚起を行い、顧客がだまされる事態を未然に防止できる。
PHISHNET/25 には大きく 2 つの特徴があるという。1つは、日本語のサイト、日本のブランドに特化していることだ。「海外にも類似の、フィッシングサイトを検知するサービスがありますが、特に日本のブランドに特化したサービスとなっています」(加瀬氏)。ローカルのことはローカルで頑張る、というわけではないが、日本企業ならではのノウハウを生かしてサービスを提供する。
もちろん背後では、グローバルな動向も視野に入れている。「海外で対策に取り組む団体や事業者とも協力し、脅威情報やデータを流通させながら、守備を広げていきたいと考えています」(末政氏)
もう 1つの特徴は早期検知が可能なことだ。「フィッシングサイトに関しては、誘導を図るキャンペーンメールが送信され、実際に被害に遭ったお客様から通報があってはじめて把握するという流れが大半です。これに対し PHISHNET/25 は、攻撃者による予備調査やリソース準備といったアクティビティを検知することで、キャンペーンが実行される前になるべく見つけていくコンセプトになっています」(加瀬氏)。事前にいくつかのブランドを対象に試験運用したところ、フィッシング対策協議会などが警告を公表する前段階でフィッシングサイトの存在を検知できた実績がある。
PHISHNET/25 は Webサービスとして提供される。申し込むとまず、正規サイトのドメイン名やブランドに関する情報を軸に、ドメイン名の登録や設定変更などに関するデータを蓄積し、ある程度データが溜まった段階で検知を開始していく流れだ。
管理画面からは、どの時期に自社を騙ったフィッシングサイトがいくつ存在していたかの概況が確認できるほか、偽サイトの一覧が、URL や IPアドレス、サイトのタイトルに加え、利用しているホスティング事業者などの情報とともに時系列で表示される。各行をクリックすることで、フィッシングサイトのスクリーンショットやより詳しい属性情報なども確認可能だ。
なお、サービス提供に当たっていくつかのフィッシングサイトで確認してみたところ、「フィッシングサイトの出現傾向に連続性はあまりなく、不連続に突然多数のサイトが出現したりする」「特定の IPアドレスに集中して構築され、それらに誘導するためにさまざまなドメインやレベルスクワッティングが用いられる」といった傾向が見られたという。
●通報・テイクダウン機能なども追加し、フィッシング対抗措置を継続的に支援
TwoFive は PHISHNET/25 を、コンシューマー向けにさまざまなサービスを Web で提供する B2C事業者と、そうした企業にセキュリティサービスを提供するマネージドセキュリティサービスプロバイダー(MSSP)向けに提供していく。フィッシングサイトの検知やテイクダウンリクエスト等のサービス自体はそれほど珍しいものではないが、従来は主にオンラインバンキングやカード会社など、金融機関等を対象にしたサービスが多かった。一般的な B2C事業者向けのこうしたサービスはこれまであまり例がない。
「B2C事業者には、フィッシングメールに関して、利用者に対する迅速な注意喚起等のアナウンスが求められています。PHISHNET/25 を活用することで、キャンペーンが実施されるよりも前にアラートをインフォメーションサイトに掲載したり、プッシュ通知するといったアクションも起こせると思います」(加瀬氏)。将来的には外部向けに PHISHNET/25 の API を提供し、運用効率化を支援することも検討しているという。
今後は、「フィッシングサイトに関するデータ収集・可視化だけでなく、アクションにつながる機能も提供予定です」(加瀬氏)
具体的には、取得した IPアドレスなどのデータを活用し、フィッシングサイトへのアクセスをネットワークレベルで遮断するソリューションに活用して Man in the Middle攻撃(中間者攻撃)に備えたり、ホスティング事業者に通報してテイクダウンをリクエストするような機能、あるいはスクリーンショットを証跡として活用してのフォレンジック調査機能なども追加していく計画だ。また、すでに提供済みの DMARC/25 Analyze との連携も視野に入れ、さまざまな側面から正規ブランド側によるフィッシングサイトへの対抗措置を支援していく。
発表以来、想像以上に大きな反響があり、問い合わせも増えているという PHISHNET/25。やはり、自社・自ブランドへのなりすましに困っている企業を中心に関心は高いという。
これまでの攻撃動向も踏まえると、「攻撃者はコストの高いところはあきらめ、コストの低い攻撃手段に絞っていく傾向があります。そう考えると、この先 DMARC が普及していけば、DMARC では防げないなりすまし手法に移行する可能性はあり得るでしょう」と加瀬氏は予測する。
そうした状況を見据えると、PHISHNET/25 のようにランダムドメインやレベルスクワッティングを用いたフィッシングサイトを見つけるサービスや、さらにその先で、ドメインの信頼性を評価するレピュテーションサービスなどの必要性は高まっていくだろう。TwoFive はそんなロードマップの中に PHISHNET/25 を位置づけ、ブランドの所有者が自らの価値を守り、防御しやすくなるような取り組みを続けていくとした。
類似ドメインについては下記 TwoFiveブログを参照
