Digital Arts Security Reports

2019/05/10   
フィッシング    SMS    i-FILTER    i-フィルター   

宅配便業者を装うスミッシング、1500以上の類似ドメインを駆使

2018年の夏ごろから国内で猛威をふるっているのが、宅配便業者の不在通知を装いSMS(ショートメッセージサービス)を送り付けフィッシングサイトに誘導するという攻撃です。

【図1】筆者の携帯電話に実際に届いたSMS
【図1】筆者の携帯電話に実際に届いたSMS
【図2】本物とそっくりのフィッシングサイト
【図2】本物とそっくりのフィッシングサイト

なお、「スミッシング」とは、SMSとPhishingを掛け合わせた造語で、SMSを利用してフィッシングサイトに誘導するもののことを指します。

1500以上の類似ドメイン

宅配便業者を装うスミッシングキャンペーンは、2017年の12月に観測されたのが最初だと思われます。そして、2018年の7月に本格的に稼働し始めました。

フィッシングサイトのコンテンツを模倣するのはさることながら、ドメインの文字列も宅配便業者を真似ており、ほとんどが「sagawa-[英字].com」という形のドメインでした。攻撃者は、少しずつ文字列を変えては何度も何度もドメインを取得して活動を続けています。

2019年4月22日までに弊社で観測したドメインの総数は、なんと1500以上です(※)。

TLD(トップレベルドメイン)のほとんどが「.com」で、様々なTLDの中でも「.com」はそれほど安価ではありません。そこで、用いられたドメインのレジストラ情報をもとに「.com」ドメインの取得にかかるコストを算出してみます。2019年4月22日時点で「.com」は、1ドメインを日本円で約750円で取得できるようです(初年度費用や一括購入割引きを加味)。

攻撃者はこれまでに約1500ドメインを取得・購入していますので、

1500ドメイン × ¥750/ドメイン = ¥1,125,000

となり、ドメイン取得「だけ」で単純計算で100万円以上のコストがかかっていることになります。

そのうえ、ドメインを取得後はフィッシングサイトをホストするためのサーバーを準備しなければなりません。これもタダではありません。つまり、これだけコストをかけてもそれを上回るリターンがあるということなのでしょう。

  1. ※ 実際には使われなかったが、同じ攻撃者が準備していたと考えられるドメインも含みます。

ドメインのレジストラ

ドメインの取得された日時を調査し、月別でグラフにしたものが【図3】です。色はレジストラで分類しています。

【図3】ドメイン取得日時とレジストラ
【図3】ドメイン取得日時とレジストラ

攻撃者の取得したドメインは、主にレジストラAとレジストラBで登録されているものでした。AとB以外のレジストラはごく少数でした。すべて海外のレジストラです。レジストラAでは2018年7月末まで、それ以後はレジストラBで登録し続けられています。

そして、月によってはあまり活発でない時期があることがわかりました。その期間は何をしていたのか定かではありませんが、次の攻撃の準備、あるいは国家的な祝日などが背後にあるのかもしれません。

IPアドレス

次に、ドメイン(フィッシングサイト)をホストしていたサーバーの「IPアドレス」に注目しました。このキャンペーンでは、ひとつのIPアドレスに複数のドメインが紐づいていることが多く、またドメインも複数のIPアドレスに紐づくことを観測しています。

【図4】は、ドメインと名前解決されたIPアドレスの組み合わせ、その初回観測日時、をもとに月別でグラフにしたものです。色はIPアドレスを所有するホスティング事業者で分類しています。

【図4】ドメインとIPアドレスの組み合わせの初回観測日時、IPアドレスを所有するホスティング事業者
【図4】ドメインとIPアドレスの組み合わせの初回観測日時、IPアドレスを所有するホスティング事業者

IPアドレスからわかる情報では、Xはアジア圏所在地のホスティング事業者、YとZは欧米圏に所在地登録しているホスティング事業者のようです。

攻撃者はフィッシングサイトの運用には、Xのサーバーを初期から継続利用しつつ、2019年2月からはYのサーバーを加え、2019年4月からはZのサーバーも追加で利用し始めたようです。

最近の傾向

  1. ※本稿執筆以前1か月程度の傾向です。

ドメインの使いまわしとポート番号

一般的にフィッシングで一度使われたURLやドメインというものは多くが短命なのですが、このキャンペーンでは過去に使ったドメインを再利用するものがあります。例えば2018年7月に観測したドメインがまた2019年4月でも使われるといった具合です。また、【図1】のようにフィッシングページのURLには「81番ポート」や「88番ポート」を付与するものも現れています。

ドメイン文字列の変化

これまでに何度かドメイン文字列の変化はありましたが、基本的には「sagawa-[英字].com」という文字列を使用しています。「jppost-[英字].com」「yamato-[英字].com」「nittsu-[英字].com」といった、他の宅配便業者のような文字列も多く観測されるようになりました。

模倣される宅配便業者に変化

2019年4月20日頃より、同一の攻撃者が作成したものと考えられる新たなフィッシングサイトも出現し始めました。コンテンツは日本郵便を模倣していますが、ドメインには「sagawa-[英字].com」「yamato-[英字].com」が使われ、ターゲットとなっているコンテンツとドメインが一致していない状況です。

Android端末でこのフィッシングサイトにアクセスするとすぐに、不審なアプリ(apkファイル)がダウンロードされるような構成でした【図5】。また、本物の日本郵便のWebサイトとは異なり、フィッシングサイトでは不審なアプリのインストール方法が詳細に記載されていました【図6】。

 
【図5】日本郵便を装うフィッシングサイト
【図5】日本郵便を装うフィッシングサイト
【図6】不審なアプリのインストール方法
【図6】不審なアプリのインストール方法

攻撃の手口と予防

攻撃の手口

送付されたSMSに記載されたURLリンクをクリックしアクセスすると、フィッシングサイトに遷移します。その後、スマートフォンのOSによって以下のような挙動が確認されています。

  1. Android端末では、不審なアプリのダウンロードとインストールをするよう誘導される。インストールしてしまうと、アカウント情報が盗まれたり、インストールしてしまった端末自身がSMSの発信源となってしまう。
  2. iOS端末では、「Apple IDとパスワード」や「携帯電話番号と認証コード」を入力するように誘導され、入力した情報を盗まれる。
  3. iOS端末では、不審な「構成プロファイル」をインストールするよう誘導され、インストールしてしまうとフィッシングページが表示される。その後、2.のように入力してしまうと情報が盗まれる。

これらについてより詳しくは下記のIPA(経済産業省所管の独立行政法人情報処理推進機構)のWebサイトをご確認ください。複数回に渡って注意喚起情報が出されています。非常に有用ですので、ぜひ参考にしてください。

予防

  • SMSやメール内のURLに安易にアクセスしない。下記の宅配便業者ではSMSによる通知は行っていません(※1)。
    • 佐川急便では、SMSによる不在通知は行っていません。
    • ヤマト運輸では、SMSによる不在通知は行っていません。
    • 日本郵便では、SMSによる不在通知は行っていません。
  • Android端末では、提供元が不明なアプリを安易にインストールしない。「提供元不明のアプリ」の設定を普段から無効にしておく(※2)。
  • iOS端末では、構成プロファイルなどを、安易にインストールしない。
  • パスワードや認証コードなどを、安易に入力しない。
  1. ※1 宅配便業者のSMS通知について
  2. ※2 弊社の一部Android製品にてインストールや更新の際に、「提供元不明のアプリ」の設定を有効にしなければならない場合があります。手順に従い、この場合においてのみ一時的に有効にし、その後は必ず設定を無効にしてください。
IoC(Indicator of Compromise)

Domain

  • sagawa-fyo[.]com:81
  • sagawa-ezi[.]com:88
  • sagawa-ewo[.]com:88
  • yamato-nu[.]com:81
  • yamato-ta[.]com:81
  • yamato-fu[.]com:88
  • jppost-wo[.]com:81
  • jppost-ji[.]com:81
  • jppost-ba[.]com:81
  • nittsu-ko[.]com
  • nittsu-ke[.]com
  • nittsu-sa[.]com

全てを閲覧する(※)

  1. ※ リンク先のページは 「FinalCode」のブラウザービュー機能を用いて暗号化しています。リンク先にて表示される利用規約をお読みください。利用規約への同意後、指示に従っていただくと閲覧が可能となります。
デジタルアーツでは

コンテンツの目視確認だけでなく、ドメインやIPアドレスといった様々な情報から攻撃者の動向を把握し、より迅速な情報収集を行っています。場合によってはフィッシングサイトが稼働するよりも前に、データベースへ反映しています(※)。今後もデジタルアーツでは、様々な脅威情報を追跡、共有していきます。

  1. ※ 「i-FILTER」「i-フィルター」では、フィッシングサイトのURLは「フィッシング詐欺」カテゴリまたは「違法ソフト・反社会行為」カテゴリにてブロックされます。
  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改竄情報をお知らせする、登録不要の無償の情報提供サービスです。