詐欺最前線より5つの詐欺トレンド

2019年4月3日

Cyxteraではマシーン・ラーニングの機能を取り入れ、大量のフィッシングサイトがオンライン上に公開された直後にそれを検知し削除することに成功しています。しかし、いくつかのしつこい攻撃に対しては人間の介入が必要になります。そのためにソーシャルメディア、Eメール、及びオンラインの各チャネルで脅威を監視、分析、削除できるよう24時間365日体制で脅威と向き合っているCyxtera Threat Advisory Center(CTAC)のエージェントチームを取りまとめています。エージェントとしては、テイクダウンのためにより手間のかかる攻撃に集中して取り組んでいます。つまり私たちは確立された保護対策を回避しようとするサイバー犯罪者の脅威の進化を常に最前線で監視しています。2019年に見られたいくつかの最も危険な最新の攻撃と、それらを阻止するために当社が実践した対策をご紹介します。

攻撃1- ホモグラフ攻撃:検知回避のために進化する攻撃

ターゲット:ラテンアメリアの大手銀行数社

攻撃手口:ホモグラフとは類似または同一と思われる文字または文字列のことです。歴史的にそれらはフィッシング攻撃に極めて役立ってきました。単純な例としては、サイトのオフィシャルサイト名にある文字のO(オー)がフィッシングURLにおいては、0(ゼロ)に置き換えられています。最近の攻撃では、オンライン広告やソーシャルメディアのための自動化された脅威検知を回避するために、他の言語でASCII(アスキー)以外の文字ホモグラフを使用しています。オンライン広告及びソーシャルメディアにおいて、攻撃者は広告の見出しやソーシャルメディアのプロファイルに他の言語の同型文字を使用して、自動キーワード検知システムを回避します。攻撃者はそういった同型文字を検索しているシステムによる検知を逃れるため、それを似ていないドメインのURLリンクと一体化させます。

Fraud Trends

上の画像はラテンアメリカの金融機関に対する悪質な広告です。最初の「a」はスペイン語にはない文字が含まれており、URLは類似ドメインではありません。

Fraud Trends

上記はソーシャルメディアに対するホモグラフ攻撃の一例です。アカウント名にはロシア語の文字が含まれていますが、アラートが起動してしまうブランドのキーワードは含まれていません。

脅威の軽減方法:ブランドを侵害しているフィッシング攻撃の検知・阻止には、マシーン・ラーニングなどのテクノロジを使用した自動検知システムが不可欠ですが、人間がアルゴリズムを調整して詐欺の大半を確実に検知できるようにする必要があります。当社のCTACエージェントチームは、我々のアルゴリズムではまだ検知できるよう訓練されていない攻撃を見つけられるよう手動での検索及び分析を定期的に実行しています。これは将来の攻撃検知のためにアルゴリズムを強化するのに有効です。

攻撃2-ドメインは変わるがIPアドレスはそのままの攻撃

ターゲット:東アジアの大手銀行

攻撃手口:当社のCTACエージェントは、フィッシング攻撃のいくつかが、様々な類似ドメインから同時に発生する可能性があることを確認しました。しかし、そのドメイングループが機能しなくなると、攻撃は以前の攻撃と同じIPアドレスまたはIP範囲を使用して、新しい類似ドメイングループから再起動されます。これらのIPは通常、そのような体系的な行動を促進する可能性が高い特定の国やインターネットサービスプロバイダーからきていることから、慎重に選択されていると思われます。

Fraud Trends

脅威の軽減方法:こういった種類の攻撃は一時的に、サイトのテイクダウンに至るドメイン及びIP監視により軽減することが可能です。当社のエージェントはマシーン・ラーニングやその他の分析技術により、攻撃が最初に削除された後も、様々なIPアドレスにわたり新たな類似ドメインで、それらの攻撃がどのように起動され続けるかについてのパターンを確認することに成功しました。ある大規模な攻撃の削除を確実に実行するために、影響を受けたインターネットサービスプロバイダー、時には地方自治体とも連携して対応する必要がありました。

攻撃3- 甘い罠:シュガーダディー

ターゲット:アメリカの小規模信用金庫

攻撃手口:Twitterのアカウントは「シュガーダディ」または「シュガーマミー」として自己認識しています。これは受け取り側が特定の金融機関のアカウントを持っていることを条件に、関心のある個人向けにオンラインでの入金をオファーします。被害者が興味をもった後、そのシュガーダディと思われる人はダイレクトメッセージを通じてユーザー名やパスワードなどのオンラインバンキング情報を要求します。そして最終的には被害者のアカウントからお金が盗まれることになってしまいます。

Fraud Trends

《シュガーダディーは君たちの助けが必要です。もし〇〇銀行か△△銀行をもっていて、ライク/再ツイート/ダイレクトメールをしてくれた人には5000ドルをすぐに払います。これを再ツイートしてくれて一人でも助けてくれる人が増えたらボーナスも払います。》

脅威の軽減方法:これらの攻撃は、金融機関のペリメーター(境界線)から離れたところで始まっているにも関わらず実質的な損失につながる外部脅威の一例です。当社のエージェントは何千ものソーシャルネットワークを監視していました。私たちがこれらの攻撃を発見した後、その攻撃をホストしているソーシャルメディアネットワークと密接に連携して犯罪者アカウントを停止させることに成功しました。本当のお父さんとお母さんが言う「うまい話しには罠がある」は本当のことだと実感させられます。

攻撃4- ブログスポットを悪用して実行されるビッシング詐欺

ターゲット:中東の大手銀行

SMSを利用したフィッシングメッセージがユーザーのWhatsappアカウントに送信され、アカウントとその関連カードがブロックされないように、ユーザーに情報を早急にアップデートするよう要求がなされます。この詐欺メッセージには連絡先番号とブログスポット上にある銀行のフィッシングWebサイトに誘導されるURLが含まれています。ブログスポットサイトはその状況全体を現実的に見せるためのおとりで、何の情報も求めることはありません。ユーザーの機密情報は、メッセージが受信された後に、ボイスビッシング(電話等の音声案内での誘導)により窃取されます。詐欺者がブログスポットでおとりサイトをホストする様々な理由があります。

・ブログスポット上のサイトは無料で簡単に作成が可能
・サイトの所有者を確認することは不可能
・それらのユニークなサブドメインによりフィッシング対策監視ソリューションでの検知が困難
・このようなサイトでは顧客のデータを要求することが少ないため、それらがフィッシングサイトとして分類されずブラックリストにものらない
・ブログスポットは、サイトを停止させる唯一合法の方法である商標侵害と思われるサイトの削除に時間がかかる

Fraud Trends

上記は不正ブログスポットサイトの一例です。ユーザーにクレデンシャルの入力を要求するフィールドがないため、フィッシングサイトとしての自動分類が困難になります。
脅威の軽減方法:金融機関から当社に送信されたブランドキーワードを利用して、当社のエージェントはオンラインフォーラム及びブログプラットフォームの定期的監視を実行することで、これらのサイトを見つけることができました。こういったサイトによく起りがちな遅延削除に対処するために、見つけた各サイトを即座にブラックリストに登録しました。これにより金融機関は顧客がそれらのサイトにアクセスを試みた時に警告を出すことができます。

攻撃5- 正規ドメインに扮装した類似ドメイン

ターゲット:ラテンアメリカの小規模銀行数社

攻撃手口:エンドユーザーはローンの申請に必要な個人的な書類を要求する不正WhatsAppメッセージを受け取ります。送信者は正規の会社のように見せかけるのが上手く、メッセージにて必要な書類を元の送信者のものとは異なるメールアドレスまたは電話番号に送信するように指示します。このメッセージにフィッシングリンクは含まれていませんが、ユーザーがそのメールアドレスに関係するWebサイトにアクセスすると、正規の金融機関名を共有してはいるものの正規のブランドとは見た目が全く異なる類似ドメインが表示されます。被害者は結局、WhatsAppを通じて融資プロセスを開始できるように料金を支払うよう要求され、そのお金はサイバー犯罪者に盗まれることになります。

偽のウェブサイト

Fraud Trends

正規ウェブサイト

Fraud Trends

脅威の軽減方法:これらのサイトの多くは、機密データを求めていなかったため、フィッシングサイトとして分類されていませんでした。また、多くの場合、正規の銀行のウェブサイトとは似てもいませんでした。当社は金融機関から提出していただいたブランドキーワードを利用して、偽装された類似ドメインを見つけ、エンドユーザーがそれらにアクセスするのをブロックしながら、サイトを削除する為のより長い商標侵害申請プロセスが実行できました。

ここで紹介した攻撃が示すように、サイバー犯罪者は検知メカニズムを回避し、フィッシング攻撃を実行し続ける新たな方法を常に模索しています。金融機関は脅威がどのように進化しようとも詐欺者に対応し、攻撃の手法に関係なく攻撃を阻止できるよう包括的なデジタル脅威対策が必要となります。

Cyxteraがどのようこのような脅威や他のオンライン脅威から組織を保護しているかについてデジタル脅威プロテクションをご覧ください。

by Diana Angulo, CTAC Manager

Cyxtera Technologies, Inc. All rights reserved    I    Privacy Policy    I    Legal Terms