URL の入力だけでフィッシングサイトを作成、 PHP まで自動生成する攻撃ツール Monthly AFCC NEWS:2015 年 3 月号 (Vol. 92) フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC (Anti-Fraud Command Center:不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース からトピックを厳選し統計情報と共に AFCC がまとめたものです。(2015 年 3 月 25 日発行) 今月の特集 今月は、『URL の入力だけでフィッシングサイトを作成、PHP まで自動生成する攻撃ツール』を紹介する。RSA では、犯罪者の間で広まっているフィッシング攻撃に必要な一式のキット(フィッシングキット)やそれを自動生成 するツールの収集や解析に努めている。今回は、こうしたツールが生成するキットに含まれている PHP スクリプ トを解析することで、今後の対策につなげるという取り組みについて紹介する。 今月の統計 2015 年 2 月のフィッシング攻撃件数は、46,343 件と、1 月の 41,397 件から 12%増加した。これは、前年同月 と比べても約 26%増、1 月~2 月の合計は、前年同期を 33%上回っている。(「フィッシング攻撃数(月次推移)」 参照)。フィッシング攻撃を受けたブランド数は過去最少の水準で、5 回を超える攻撃を受けたブランドの比率は 全体の 7 割近くに及んでおり、特定のブランドを騙った攻撃がより多く、繰り返し行われている様子が窺われる (フィッシング攻撃を受けたブランド数(月次推移)参照)。 今月の特集 『URL の入力だけでフィッシングサイトを作成、PHP まで自動生成する攻撃ツール』 はじめに PHP は、動的なウェブページの構築と管理に用いられるサーバサイドスクリプト/プログラミング言語であり、同 時に汎用プログラミング言語としても広く用いられている。その PHP によるスクリプトは、多くのサイバー犯罪者 からも、フィッシングやマルウェア攻撃に役立ツールとして愛用されている。 フィッシング攻撃の準備手順 犯罪者がフィッシング攻撃を成功させるためにまず考えることは、「いかにして標的に錯覚を抱かせて、個人情 報を入力させるか」である。その際に最優先されるのは、(オンラインバンキングなどの)正規のサービスのルック &フィール(見た目や雰囲気)を装うことである。といっても、近ごろでは、本物を複製するだけなので、極めて簡 単である(そのため見た目だけでは区別が付かないケースも多い)。 肝心なのは、その後。フィッシング攻撃の肝である標的に情報を入力させるフォームの手直しである。入力さ れたデータを窃取するには、フォームとその属性(設定)に、望む情報とその送り先を反映させる必要がある。 ただし、こちらも簡単で、複製したページの HTML ソースの中<form>タグのハイライト箇所(リスト-1 黄線部分参 照)を、スクリプトと差し替えることだけで終わる。このスクリプト-通常 PHP で記述されている-が今回の主役で ある。 1 <form action="demo_form.php" method="get"> First name: <input type="text" name="fname"><br> Last name: <input type="text" name="lname"><br> <input type="submit" value="Submit"> </form> リスト-1 HTML における Form タグの使用例 フィッシングキットと呼ばれるものとその内容 フィッシング攻撃の展開手順を簡素化するために使われているのが、フィッシングキットである。たいていの フィッシングキットは、フィッシング攻撃に必要な各種ファイルを圧縮ファイル(ZIP、TAR、GZ、RAR など)に保存し ている。具体的には HTML ファイル、CSS ファイル、画像ファイル、JavaScript ファイル、PHP スクリプトファイル などが含まれている(図-1)。 今どきのフィッシング詐欺は、こうしたキットをウェブサイト/サーバにアップロード、解凍 1するだけで始められる。 ただし、そのためには、フィッシング キットのファイル名を含めたパスを、 フィッシングサイトのパスと同じもの にする必要がある。 こうした傾向を逆手にとって、 RSA ではフィッシング詐欺に使わ れた URL のパス構造と同じ名前を 持つフィッシングキットをスキャンし、 図-1 フィッシングキットの典型的な構成内容 フィッシング攻撃について分析調査 している。 例えば、もし http://domain.com/dir1/dir2/bank/というパスを使ってフィッシング攻撃が展開されている場合、 「http://domain.com/dir1/dir2/bank.zip」というファイルを探してスキャンすればよい。上述の通り、犯罪者はキッ トと同じ名前のディレクトリーに解凍しようとする傾向があり、この探し方がとても効果的であることは、すでに証 明されている。 AVTOFAKEGEN ~フィッシングキット・ジェネレータの例 RSA は近ごろ、AvtoFakeGen という名の新製品を地下フォーラムで販売している犯罪者を確認している。 このツールは、Delphi ベースのアプリケーションで、犯罪者向けのフィッシングキットと転送ページを手間無く自 動生成できるよう設計されている。 AvtoFakeGen を使ったフィッシングキットの作成手順は以下の様になる。 1 おそらく OS コマンドを実行するウェブシェルを使う 2 1. 「AvtoFakeGen.exe」を起動する。 図-2 AvtoFakeGen の起動画面 2. 「Page」フィールドに複製を作りたいサイトの URL(フルパス)を入力する~これだけでオリジナルサイトの リソースがすべてコピーされる。 3. 「Forwarding」フィールドに転送先の URL を記入する。 4. 「Index file type」で生成したいトップページの種類を index.php、 index.html、 index.htm から選ぶ。 5. Base ファイルのタイプ(PHP、ht ベース、カスタム)を選ぶ。ここに盗まれたデータが保存される。 6. 盗まれたデータをドロップアドレスに送りたい場合は、「Send on email」をチェックし、アドレスを記入する (オプション)。 7. 「MAKE」をクリックする。 8. 入手したい標的の情報(データ要素)を選ぶ(オプション) 図-3 入手したい標的の情報の選択 9. 「Resume」をクリックすると、生成が完了したことを知らせる画面が表示される 3 図-4 生成完了画面 10. 新しいフィッシングページが生成され、フォルダー内に保存される。 標的にメールアドレスとパスワードを要求し、入力された内容を変数$Location に定義されているリモートサー バー上の Base.php というページに保存する。盗んだデータをメールに埋め込んで、変数$Base に定義されてい るドロップアドレス宛を送信することもできる。 このツールでは、他にも以下の様なオプションも指定できる。 実行後に削除 すべての ID コンポーネントを削除 すべての JavaScript を削除 <IMG>タグで指定された画像の変更~オリジナルの画像を自ら用意した画像と差し替えられる 文言の置換~オリジナルのテキストを自らの指定した文言に差し替えられる フィッシングツールが生成した PHP スクリプトの解析結果 スクリプトを解析することで、フィッシング攻撃について様々な情報を手に入れることができる。 図-5 は、スクリプトの多機能化によく用いられるcURL機能 2を使った例である。cURLコマンドを使えば、以下 の通り、多くのプロトコルや技術・機能に対応したフィッシング攻撃が行える。 DICT、FILE、 FTP、 FTPS、 Gopher、 HTTP、 HTTPS、 IMAP、 IMAPS、 LDAP、 LDAPS、 POP3、 POP3S、 RTMP、 RTSP、 SCP、 SFTP、 SMTP、 SMTPS、 Telnet、 TFTP SSL 証明書、HTTP POST、 HTTP PUT、 アップロード(FTP/HTML フォームベース)、 プロキシ、 HTTP/2、 クッキー ユーザー認証(ベーシック、 プレーン、 ダイジェスト、 CRAM-MD5、 NTLM、 ネゴシエート、 ケルベロス) ファイル転送のレジューム、 プロキシ・トンネリング、 他 2 cURL はコマンドラインツールで、URL の文法にそって、データ転送を行うことができる。 4 図-6 は、そうした cURL コマンドを使った応用例で、正規サイトから CAPTCHA 画像を入手している。入手した 画像は、動的に作成されるフィッシングページに表示し、より本物らしさを醸すために使うことができる。 図-5:cURL 機能を組み込んだ PHP スクリプトの例 他にも、Gmail にログインしてメッセージを送る機能や、犯罪者に SMS テキストメッセージを送る機能などが付 け加えられている例が確認されている。 PHP スクリプトの解析は、ドロップポイントにデータを送る際に暗号化を施しているケースでは、盗まれた情報 の復号にも役立つ。言うまでも無く、盗まれた情報の特定は、被害の最小化に最も有効である。 5 図-6: cURL 機能を使って CAPTCHA 画像を取得する PHP スクリプトの内容 まとめ~解析結果を活用する~ フィッシングキットを解析すると、その攻撃について、以下の様なことがわかる可能性がある。 盗まれる個人情報の種類(氏名、メールアドレス、口座番号など) データが収集される場所(データがファイルに書き込まれているなら、盗まれた信用情報を回復できるかも知 れない) 中間者攻撃の場合-正規のサイトとの間の通信がどのようにして欺かれているのかを知ることで、将来の 攻撃の被害緩和に役立つ防御のしくみ 盗まれたデータが暗号化されている場合、データを復号するためのヒントや鍵 さらなる詐欺攻撃の詳細(「落ちついて。あなたの口座のロックは解除されました」といったメールを送り、標 的が騙されていることを知らせようとする試みを妨げる、など) こうした内容を迅速に把握できれば、フィッシング攻撃の被害緩和につなげることができる。上記の情報を入 手し、関連する金融機関に連絡をすることで、すでに盗まれてしまった情報の当事者の口座を凍結したり、被害 に遭っていない顧客に対して、実情に即した注意喚起を施すことができるからである。 そのために、RSA では、攻撃を認知し、そのサイトからフィッシングキットを収集し、スクリプトを解析している。 地下に流通するツールを使えば手軽にフィッシング攻撃が行えてしまう現実に対応するには、被害緩和に向けた このような地道な取り組みと緊密な情報連携が欠かせない。 6 今月の統計 フィッシング攻撃数(月次推移) 2015 年 2 月、AFCC が検知したフィッシング攻撃件数は 46,343 件と、1 月の 41,397 件から 12%増加した。 これは、前年同月比 26%増にあたり、さらに 2 月としての新記録、しかも初の 4 万件を大きく超えた。 2 月の数 字は 2013 年→14 年→15 年と毎年およそ 1 万件ずつ増えている。 70,000 60,000 61,278 55,813 50,000 52,557 40,000 46,747 42,571 42,537 38,992 36,883 30,000 46,343 41,397 34,787 33,145 24,794 20,000 10,000 0 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 フィッシング攻撃を受けたブランド数(月次推移) 2 月にフィッシング攻撃を受けたブランドは 202 件と、1 月の 217 件からさらに減少し、過去最低水準に近づい た。また、5 回を超える攻撃を受けたブランド数は 135 件(全体比 67%)と、こちらも高い比率が続いている。この ことは、少ないブランドを騙った攻撃が集中的に発生している状況を示している。 攻撃を受けたブランド数 333 350 300 月間5回を超える攻撃を受けたブランド数 319 294 287 283 260 249 239 250 217 200 214 217 202 200 150 171 148 100 151 145 142 120 118 6月 7月 149 134 111 117 124 10月 11月 12月 135 50 0 2月 3月 4月 5月 7 8月 9月 1月 2月 フィッシング攻撃を受けた回数(国別シェア) 2 月の首位も、米国だった。占めた比率は昨年 11 コロンビア 1% オランダ 2% 月の 74%ほどではないものの、67%と高い水準が 維持されている。 南アフリカ 4% ランクインした国の数は 1 ヵ国減って 8 ヵ国。これ は、1 月に 6 位だった中国が抜けたことによる。それ インド 3% スペイン 3% その他13ヵ 国 4% 以外の顔ぶれは変わらない。1%以下の比率の 英国 8% 13 ヵ国で、残る 4%を分け合った。 カナダ 8% 米国 67% フィッシング攻撃のホスト国別分布(月次) 2 月、最も多くのフィッシングをホストした国は、 やはり米国だった。漸減していた比率も 6 ポイント その他60ヵ国 18% 増えて、再び 50%に戻した。 顔ぶれは、 ハンガリー、オランダ、オーストリア、 スペインが抜け、ポーランド、カナダ、コロンビアが コロンビア 2% 加わっている。 カナダ 2% 香港 2% ポーランド 2% 2 月は、全体の 18%を 1%未満の 60 ヵ国で分け 合っている(1 月は、全体の 22%を 1%未満の 56 ヵ フランス 3% 国で分け合っていた)。 ロシア 3% 米国 50% ドイツ 4% イタリア 6% 英国 8% ※ いずれもフィッシングサイトをホストした ISP やフィッシン グドメインを管理していた登録事業者の所在地別分類 である。 8 日本でホストされたフィッシングサイト(月次推移) 2015 年 2 月、日本でホストされたフィッシングサイト数は 24 件と、1 月の 20 件から再び増加に転じた。 50 45 43 40 40 33 35 45 42 32 30 30 25 24 25 20 15 20 18 15 12 10 5 0 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 フィッシング対策協議会に報告が寄せられた 2 月のフィッシング報告件数は 498 件と、急増した 1 月から一転 して 1,658 件減少した。同協議会によれば、比率としては、1 月に 75%だったオンラインゲーム事業者を騙った フィッシングの比率が 85%以上に上がったとしており、1 月に 25%を占めた金融機関を騙ったフィッシングの減 少が顕著だったと思われる。 3 月 12 日、警察庁は、「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに対する注意喚起を行って いる(報道によれば、警察庁は 5 都道府県 8 サイトでの被害を把握しているとあるが、海外でも多くのサイトが同 様の被害を受けていると見られる)。改ざんには、WordPress プラグインの脆弱性が悪用されたケースが多いと しており、注意喚起には、具体的な推奨対策 7 項目も掲載されている。 3 月 6 日、警視庁は、不正利用目的でご当地グルメ紹介サイトに対して SQL インジェクションを行い、約 2,000 件の ID、パスワードを入手したとして、無職男性を逮捕した。入手した ID を使ってショッピングサイト で 1,500 万円を不正購入したとみられている。 3 月 17 日には、ベネッセホールディングスが、コールセンター業務を委託しているトランスコスモスの元契 約社員が子会社のベネッセコーポレーションの顧客情報 23 名分を不正に持ち出していたと発表した。本件 に伴い、経済産業省は、トランスコスモスに対して、経緯、詳細な事実関係、これまでに実施してきた安全管 理措置や監督状況、発覚以降の対応など 3 月 24 日までに報告するよう求めている。 AFCC NEWS のバックナンバーは Web でご覧いただけます。 http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子 Tel : (03)6830-3234(直通)、(03)6830-3291(部門代表) eMail : [email protected] Twitter : @RSAsecurityJP WEB : http://japan.emc.com/rsa 9 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。 Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。 CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。 C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。 Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。 RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。 SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。 Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。 SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。 Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。 ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。 Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。 10
© Copyright 2024