フィッシング攻撃の最新分析：キットの利用が増加している理由を考えよう – Group-IB

Phishing campaigns thrive as evasive tactics outsmart conventional detection

2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25％増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。

2022年には、3,677件のユニークなフィッシング・キットが確認されており、2021年に比べて 25%増加している。フィッシング・キットは、サイバー犯罪者が複数のフィッシング・ページを一度に作成／操作できるようにするためのツール群である。大規模なフィッシング・キャンペーンの実施で必要とされる、インフラの構築や維持／ブロッキング時のホスト間移動／盗難データの収集などを容易に行うことで、脅威アクターにとって有用なツールだと認識されている。

盗まれたデータを扱うフィッシング・キットの手法

フィッシング・サイトは個人情報の収集を目的としたものであり、その収集と保存には、特定の手段が必要とされる。データ窃取における大部分は、依然としてＥメールに依存している。合計すると、2022年のフィッシング・キットの約半数が、情報を盗み出すプロセスにおいてＥメールに依存していた。フィッシング・キット作成者の間で、データ収集に使用されるメールサービスとして、最も好まれたのは Gmail だった (45％) 。

以前から継続している傾向として、データ収集における Telegram の人気が、持続していることが挙げられる。Telegram を介してデータを収集するフィッシング・キットの数は、2022年の前年比がほぼ倍増していた。

2021年には、フィッシング・キットの 5.6%が、Telegram を介してデータを窃取していたが、2022年には 9.4%に増加した。メッセンジャーの柔軟性と利便性により、サイバー犯罪者たちは、ほぼリアルタイムで漏洩した情報を処理／管理できるとされる。

多くのフィッシング・キットは、盗み出したデータを処理するために複数の方法を採用していた。2022年には、約 1,500件のフィッシング・キットが、Telegram／Ｅメール／サーバ上のローカル・ファイルにデータを書き込むことで、盗み出したデータを転送しており、その高度化が進んでいることが分かる。

確認された回避テクニック

Telegram の利用が増加する一方で、サイバー犯罪者は、検知や取り締まりを回避するための能力の強化に注力しており、フィッシング攻撃はより複雑化している。

2021年〜2022年のフィッシング・キットで確認された回避技術は、些細なアクセス制御メカニズムと、より高度な検出回避手法の２つに分類される。

アクセス制御のカテゴリにおいて、2022年に最も多用された手法はハイパーテキスト・アクセス (.htaccess) であり、フィッシング・キットの 20％ での採用が確認された。つまり、このコンフィグレーション・ファイルに対処できる Web サイト・オペレーターは、訪問者の IP アドレスをベースにして、特定のディレクトリへのアクセスを制限できるようになる。

2022年において２番目に用いられたアクセス制御の手法は、12％ で採用されたコンフィグレーション・ファイル robots.txt である。この点に対処できれば、ボットや検索エンジン・クローラーによる、Web サイトへのアクセス制限が可能になる。

全体として、シンプルなアクセス制御メカニズムを、何らかのかたちで使用するフィッシング・キットは、2021年の 951件から 2022年の 1,824 件へと、92% も増加していた。

高度な検出回避技術としては、サイバー・セキュリティ専門家による分析や、サイバーセキュリティ・ソリューションによる作業を妨げるための機能が、多くのフィッシング・キットに詰め込まれている。基本的な仕組みとしては、サイバー・セキュリティ・ベンダーの IP やホストネームを、ブラックリスト化することなどが挙げられる。

アンチボット技術

より巧妙な手口として挙げられるものには、アンチボット技術の使用／ディレクトリのランダム化などがある。こういった類の手法は、2022年に 2,060件のフィッシング・キットが使用しており、前年と比べて 26% ほど増加している。

特に 2022年には、自動化されたサイバー・セキュリティ・スキャナーによる、フィッシング・コンテンツの識別を防ぐために設計された、アンチボット技術の使用が 40% も増加したことが、Group-IB の研究者たちにより確認されている。

フィッシング・オペレーターたちにとって、フィッシング・サイトの寿命を延ばすことが主な目標の１つである。したがって、最も一般的に使用される検出回避技術は、ディレクトリの動的な制御である。悪意のオペレーターたちは、パーソナライズされたフィッシング URL の受信者だけがアクセス可能であり、イニシャル・リンクがなければアクセスできない、ランダムな Web サイトのフォルダを作成する。

この手法により、フィッシング・コンテンツを隠すことが可能となり、検知やブラックリスト登録の回避が達成される。ディレクトリの動的な管理は、2022年に確認されたフィッシング・キットの 22% で利用されていた。

また、デバイスのパラメータ／位置情報／リファラーなどが、被害者のプロファイルと一致しない場合に、訪問者に対して偽の 404 エラー・ページを使用する手口も多用されていた。2022年のフィッシング・キットの 11%で確認されている。

Group-IB の CEO である Dmitry Volkov は、「フィッシング・オペレーターたちは、自動化により、何百もの Web サイトを、毎日のように作成／管理できるようになった。したがって、フィッシング・キットの抽出と監視は不可欠な要素であり、それにより、フィッシングが甚大な被害をもたらす前に、攻撃を特定してブロックすることが可能となる。さらに、フィッシング・キットの分析は、敵対者の TTP に対する貴重な洞察を提供するため、情報収集の観点からも非常に重要である。多くの場合において、フィッシング・キットの開発者を特定することも可能になるため、脅威アクターたちを起訴する際にも役立つ」と結論付けている。

フィッシング・キットが用いる戦術は、防御策の裏返しでもあり、そのポイントを、どちらが先回りして制するのかが分かれ目になります。とても、熾烈な戦いですね。この記事を訳していて難しかったのは、攻撃者と防御者が、同じポイントを奪い合う状況を説明する、日本語による表現でした。分かりにくい部分が残っていると思いますが、これくらいが、訳者としての限界でした。