【やってみた】意外と簡単? フィッシングサイトの発見から通報まで
お久しぶりです。
しなもんです。
本当は 8月にも記事を書こうと思っていたのですが達成できませんでした。
継続的に情報発信されている方はすごいなあと常々思っています。
さて、今年に入ってからフィッシングサイトの件数・報告数がすごい勢いで増加傾向にあることは当ブログにおいて何度か触れてきましたが、最近私も自力でフィッシングサイトを発見し、関連機関に通報することを始めましたので、やり方をご紹介します。
動機
- 何かセキュリティの分野で世の中の役に立つことしたいなーという漠然とした思い
- 後述のバイブルが公開され、読むうちに「これ自分でもできるんじゃない?」という気分に
- 職業柄フィッシングサイト (メール) の始末には苦労させられており、その恨み (八つ当たり?)
フィッシングサイトの見つけ方
フィッシングサイトの発見にはいろいろな方法があるようですが、特別な知識がなくとも可能な方法に次の2つがあります。
前者は簡単ですね。
攻撃者が実際に騙すことを狙って送り付けてきたものなので、それがフィッシングメールであることにさえ気づければ、記載されたリンク先はほぼ間違いなくフィッシングサイトです。
その一方で、メールが来なければ何も始まりません。
私は個人でフィッシングメールを効率よく集める環境を持っていませんので*1、今回はこちらの方式は使っていません。
後者の「新規登録ドメイン」を監視する方法は少し説明が必要かと思います。
なお、「ドメイン」についてはこちらの記事をご参照ください。
フィッシングサイトに使われるドメインには、次のような特徴があることが多いです。
- 次々に現れ、見つかり次第潰されているものなので、営業中のサイトには登録されてから数日以内の新しいドメインが多い。
- 偽装先サービスと同じか、似た文字列が含まれていることが多い。例えば、amazon、annazonn、amazone、amzn、cojpなど。
- 誘導先はたいてい偽ログイン画面なので、account、security、support、login、signin、verify などの文字列が含まれていることも多い。
つまり、数日以内に新しく登録されたドメインの中から、怪しい文字列を含むものを探し出して調べれば、効率よくフィッシングサイトを見つけることができます。
もちろんフィッシングサイトのドメインがわかりやすい文字列を含むとは限らないので、どんなフィッシングサイトでもこの手法で見つけることができるわけではありません。
また、この手法を採るとフィッシングサイトの存在はわかっても「どのように誘導するのか」はわかりません。
一方で、タイミングが合えば実際にメールなどが配信される前に関連機関などへの通報ができることもあり得るでしょう。一長一短ということです。
今回はこちらの「新規登録ドメインを手がかりにする」方法でフィッシングサイトを探します。
DN Pedia
新規登録ドメインを調べるには、DN Pedia というサービスを利用します。
英語のサービスですが、使い方はそんなに難しくありません。
Mode:フィッシングサイト探索目的なら ”Contains” (~を含む) でよいでしょう。
Search Word:検索したい文字列を入力します。
Where:"Recently Added" (最近登録された)
Duration:"Last 2 Days" (直近 2日間。これより古いドメインは撤収していたり有志によって発見済のことが多いです)
さあ、実際に探してみましょう。"Search Word" が肝で、センスの見せ所です。
最初は「amazon」「rakuten」「smbc」など有名でよく詐称されるサービスの名前をそのまま打ち込んでみるといいでしょう。これだけでも怪しいドメインがたくさん出てくるはずです。
微妙に変えてある場合も多いので、より短い部分で検索するのも手です。例えば「rakutcn.~」というドメインは一見して楽天詐称っぽいですが、「rakuten」で検索すると引っかかりません。「raku」で検索すると引っかかります。
さて、今回は「co-jp」で検索してみました。
…………。
怪しいのがいっぱい出てきましたね……。
日本国内の企業を表すトップレベル/セカンドレベルドメイン「co.jp」と似ていて見間違えそうなドメインをわざわざ登録しているわけですから、どのドメインも真っ当ではなさそうです。
そのようなわけでいろいろ見てみたのですが、すでに有志によって発見・通報済だったり、サイトが存在しなかったり *2 するので、新しいフィッシングサイトとして確認できるもの自体はそれほど多くなかったりします。
今回は、下から 3番目のドメイン「account-co-jp-user[.]xyz」が生きていることを確認できました。
サイトを確認
さて、実際にアクセスしてみましょう。
大前提として、フィッシングサイトらしきサイトが現れても、絶対に本物の情報を入力しないでください。
本物の情報を渡したら、フィッシングに引っかかったのと何も変わりません。
また、素性の良くないサイトなのは間違いないので、マルウェアなどが仕掛けられていることもないとはいえません。
専用の仮想マシン (マルウェアに感染しても復元が比較的容易) 内のブラウザからアクセスしたり、aguse Gateway のような代理アクセスサービスを用いた方が安全です。
aguse のようなサイト調査に便利な Web サービスについては、後日まとめて記事にする予定です。
以上の前提を踏まえて行ってみましょう。
実際に調査した 9/21 深夜時点では、特に警告など出ませんでした*3。未知のフィッシングサイトの可能性大です。
はい。これがフィッシングサイトです。
ドメイン名だけでは何を詐称するサイトか判然としませんでしたが、Amazon.co.jp であることがわかりました。
ちなみに本物の Amazon.co.jp のログイン画面はこちらです。
サイトの外観自体は極めてそっくり、というかフィッシング側が本物を丸パクリしているので似ていて当たり前なんですけどね。
見た目に騙されてはいけません。
- ドメインが正規の「amazon.co.jp」ではない
- アドレスバーの鍵マークに赤線が入っていることからわかるように、HTTPS での接続ではない*4
ことから、完全に偽サイトであると断定してよいでしょう。
これで無事「フィッシングサイトを発見した」ことになり、通報するにはこれで十分なのですが、せっかくですのでもうちょっと遊んでみましょう。
適当にイジる
※安全を考えるとこれ以降は実際にはやらない方が無難です
挙動を確かめるという名目のもとに、日ごろの恨みを込めてフィッシング犯のデータベースを汚染してやります。
たった 1桁のパスワードでログイン (?) できるまともな通販サイトがあるわけないので、これも偽サイトであることの証拠になりますね*5。
「更新するまでアカウントにアクセスできません」と脅して全部入力させようという魂胆のようです。
この辺で「こんなにいろいろ入力させるなんておかしくないか?」と気づけたら、直ちに Amazon のパスワード変更すれば助かるかもしれません。
ちょっと気の利いたフィッシングサイトでは、有効期限やカード番号の実在性を確認して異常値の場合は差し戻すこともあるのですが、今回のは特にそうした工夫はありませんでした。
なんとメールアカウントのパスワードまで聞いてきました。通販サイトがメールアカウントのパスワードを要求する理由がどこにあるというのでしょうか。
メールアカウントが乗っ取られるとアドレス帳を盗まれたりそこからスパムメール (フィッシングやマルウェア付きも含む) を送られたりして関係ない人にも大迷惑をかけかねません。
絶対に回避しなければなりません。
とりあえずパスワードは「1」で。
おめでとうだそうです。殴りたくなりますね。
この後間もなく本物の Amazon へリダイレクトされました。
メールアカウントのパスワードまで盗もうとする点はちょっと珍しいかなと思いますが、総合的にはよくあるフィッシングサイトであるといって差し支えないでしょう。
通報する
フィッシングサイトであるとの確信が持てましたので各所に通報しましょう。
通報先は各種あります。
- Microsoft
- フィッシング対策協議会
- JPCERT/CC
- gred や各セキュリティベンダーが提供するサイト評価サービス
- Phishtank などのフィッシングデータベース
- プロバイダ
- etc.
一番強力なのはプロバイダへのテイクダウン依頼で、成功すればサイトそのものを潰すことができるのですが、海外のことが多いですし難しそうなのでしなもんはやったことがありません。
上記のうち、Google と Microsoft は通報が非常に簡単なのでおすすめです。
Google に通報
Google Safe Browsing への報告はとりわけ簡単で、しかも悪性判定されるとChrome、Firefox、Safari といったメジャーブラウザでアクセスしようとした際に警告画面を出してくれるようになるので、被害防止のための実質的な効果も大きいです。
手順
1. 通報フォームへアクセス
2. フィッシングサイトの URL を入力
3. reCAPTCHA (信号機をクリック!みたいなやつです) を実施
4. もし何かあれば詳細情報を記入
5. 「報告を送信」
これだけです。行っけーー!
「ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。」
言い方は大仰ですが、確かに何かイイコトした感はありますね。
通報後、Google によって詐欺サイトであると判定されると、主要ブラウザで閲覧時に下のような警告画面が出るようになります (画像は Firefox での例)。
これだけでも相当防止効果はありそうです。
Microsoft に通報
Microsoft への通報もかなり簡単です。
Microsoft によって悪性判定されると、Windows Defender が警告を出してくれるようになるそうです。
Windows Defender のユーザの多さを考えるとかなり魅力的です。
手順
1. 通報フォームへアクセス
2. フィッシングサイトの URLを入力
3. "Phishing" を選択
4. フィッシングサイトで使われている言語 (今回は "Japanese") を選択
5. 画像に表示されている文字列を入力
6. "Submit"
これだけです。おりゃーー!
フィッシング対策協議会へ報告
フィッシング対策協議会はすでにしなもんぶろぐで何度も取り上げているように、フィッシングに関する情報収集や注意喚起を行っている団体です。
フィッシング対策協議会に報告すると、(しなもんぶろぐでもたびたび引用している) 報告実績として計上されるほか、協議会が確認した時点でサイトが稼働中であれば、閉鎖のための調査を JPCERT/CC に依頼してくれたりするようです*6。
フィッシング対策協議会にはメールで報告します。
今回は新規登録ドメインから直接フィッシングサイトを見つけたわけですが、もしメールが手元にあればそれを転送するといいそうです。
一つ一つ確認されているようなので即座にとはいきませんが、数日以内に報告を受理した旨の連絡が来ます。
Phishtank に登録
Phishtank はコミュニティ型のフィッシングサイト情報集積サービスです。
参加者一人一人がフィッシングサイトを登録、または検証できます。
今回のサイトも報告しました。
記事執筆時点ではまだ誰も verify (フィッシングサイトであるかどうかの検証) していないようですね……
まあそういうこともあります。
SNS で注意喚起する
フィッシングメールを真に受けた方が被害を受けないように、また同じくフィッシング情報を追いかけているリサーチャの方々へ知らせるために注意喚起を実施します。
私の場合は Twitter で行っています。
#Phishing #Amazon
— しなもん (@am7cinnamon) 2020年9月21日
フィッシングサイト営業中です。ご注意ください。
Google・MSには通報済、これからフィッシング対策協議会に報告します。
hxxp://account-co-jp-user[.]xyz
-> 107.172.122[.]49
urlscanhttps://t.co/dm2WTAZsoH
Phishtankhttps://t.co/5MRdEGg21j pic.twitter.com/9Y4n7nq2M2
記載する内容はリサーチャによって差があり、特に私の書き方がベストというわけではありません。
後述のバイブルを参照していただくか、日常的に発信しているベテランフィッシングハンターの方々 (#Phishing などで調べると見つけやすいです) をお手本にするとよいのではと思います。
注意点として、見た方が意図せずフィッシングサイトにアクセスしてしまうことがないように、URL や IP アドレスを無害化しておく (Defang (牙を抜く) といいます) 必要があります。
例えば、
コンピュータが URL やアドレスだと解釈できない形であればよいので、厳密に上記のやり方でなくてもいいとは思います。
なお、元々何万人ものフォロワーがいるかよほど人目を惹く話題でもない限り、こうした個別の注意喚起に大量の RT やいいねがつくことはまれ*7なので、そういう期待はしない方が賢明だと思います。
バイブルの紹介
さて、これまでご紹介してきた探索・通報法には手引きがあります。
というか本記事よりずっと正確で充実しています。新しく始める方は本記事よりこちらを熟読された方がいいです。
実際これらの手引きがなければ、「フィッシングサイトは自分にも見つけられるものだ」という発想にならなかったでしょうし、実際にやってみようとも思わなかったでしょう。
敬意と感謝を込めて、バイブルとしてご紹介させていただきます。
実際にやってみて
ここまでご覧いただいた方ならお察しの通り、フィッシングサイトを 1つ 2つ見つけて通報するのは、大して難しいことではありません。
立場によらず誰でもできますし、特別な知識や技術もほとんど必要ありません。
しかし、とはいえそれなりに手間はかかりますし、やったからといってお金や名声が得られたり直ちに人から感謝されるようなことではありません。
そして、1件 2件見つけたからといって、特別な知識が得られるというわけでもありません (新しいことを体験したという意味での学びはありますが)。
一歩進んだ洞察を得るには時間をかけて継続的に watch していく必要があります。
それだけに継続的に調査・発信を行い、その過程で独自の知見を積み重ねてこられたフィッシングハンターの方々の凄さを実感しています。
一方で、目に見える対価は小さいかもしれませんが、もしかしたらネットの向こうの知らない誰かを救えるかもしれない活動です。
細々とですが続けていこうと思います。皆様もいかがですか?
*1:捨てアドレスを色々なフィッシングサイトに登録しているのですが、なかなかメールが来ません……
*2:撤収されたわけではなくまだ設置されていないだけの場合は、別の監視サービスなどを使って待ち受けるという手もあります。しなもんは使ったことがないのでここでは紹介しません。
*3:翌日には Google Safe Browsing の警告が出るようになりました。通報の成果と思われます。
*4:現代の通販サイトで HTTPS でないというのはまず考えられないので、普通の HTTP で接続できる時点でダメと判断して OK です。注意してほしいのはその逆は成り立たないということで、HTTPS 対応のフィッシングサイトは今や普通に (体感では数割レベル) 存在します。HTTPS だから安全、本物という考えは捨てましょう。
*5:「最初のログイン情報だけ盗み、何が入力されてもエラーを返す」「入力された情報をもとにリアルタイムで攻撃者がログインを試みているため、本物の情報以外ではエラーを返す」といったフィッシングサイトも存在するようです。「適当な入力でもログインできるから偽物」とはいえても、「適当な入力ではログインできないから本物」とはいえません。念のため。
*6:しなもんもすでに何度か報告しているのですが、今のところ報告対象のサイトがフィッシング対策協議会の確認まで生き残っていたことがないので詳しいことはわかりません。
*7:私に限らず、定評あるフィッシングハンターの方でも大差ないようです。