1.1K Views
July 23, 23
スライド概要
フィッシング詐欺について知っておくべきことがある。2023年上半期の被害件数は増加傾向にあり、エムアイカード、じゃらん、Appleなどさまざまな企業や機関が被害に遭っている。フィッシング詐欺によって、クレジットカード番号、銀行口座番号、暗証番号、セキュリティコード、住所、氏名、電話番号、生年月日、電子メール、インターネットバンキング、ECサイト、SNSアカウント等のID・パスワード、運転免許証、マイナンバーカードの画像情報などの個人情報が盗まれるため、個人情報保護の重要性が高まっている。
おすすめタグ:phishing,cybersecurity,personal data protection,data analysis,JPCERT/CC
Security Engineer & Researcher https://www.hacket-engine.com
フィッシング詐欺について 知っておきたいこと 2023年7⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 2023年7⽉15⽇(⼟) Confidential. For internal use only. 14:00-14:50 理事 ⻑⾕川達也
はじめに • セキュリティリサーチ(SR)分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット&エンジニアリング • ディスカッション(交流)で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください
アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた
アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた
フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖ Confidential. For internal use only.
被害はまだ増えているのか︖ 出典: LAC https://www.lac.co.jp/lacwatch/report/20221219_003234.html
2023年上半期の現状 1月から報告件数は鰻のぼり 6月は過去最大! 6月の緊急情報 出典︓フィッシング対策協議会 https://www.antiphishing.jp/report/monthly/202306.html • • • • • • • • • • • • • • エムアイカード じゃらん Apple チューリッヒ保険会社 北海道電力 沖縄電力 総務省 北洋銀行 三菱UFJ銀行 日本航空 西日本シティ銀行 ジャックス エポスカード ANA
フィッシングによるものとみられるインターネットバンキングに係る 不正送⾦被害 5億 出典: 警察庁・⾦融庁 https://www.npa.go.jp/bureau/cyber/pdf/20230424_press3.pdf
フィッシングで盗まれる情報 • クレジットカード番号、⾦融機関の⼝座番号、暗証番号、セキュリティコード • 住所、⽒名、電話番号、⽣年⽉⽇ • 電⼦メール、インターネットバンキング、ECサイト、SNSアカウント等のID・パスワード • 運転免許証、マイナンバーカードの画像情報 など 出典︓警察庁 https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html
フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖ Confidential. For internal use only.
技術トレンドに変化はあるのか︖ フィッシングメール DMARC (SPF,DKIM補強) ドメインハイジャック ドロップキャッチ 対策技術 フィッシングキット EV SSL証明書 URLフィルタリング 攻撃⼿法と PhaaS (Phishing as a Service) クローキング クライアントサイドクローキング SMSフィッシング(Smishing) AiTM (Adversary-in短縮URL ダイナミックDNS The-Middle) ⽣体認証 (FIDO2,PassKey) (ドメイン廃止後に第三者が取得) サブドメインテイクオーバー (サブドメインのDNS設定の悪用・乗っ取り) 3Dセキュア 迷惑SMS拒否 SIMスワップ 偽アプリのインストール IPFSフィッシング
フィッシング詐欺サイクルからのトレンド Phishing Kit PhaaS IPFS SIMスワップ 電話+メール SMS 参考:フィッシング対策協議会 https://www.antiphishing.jp/report/phishing_report_2022.pdf
より短いライフサイクル化 フィッシングサイトのアクティブ時間は年々短縮化 - 現在ではほとんどが24時間以内 - ドメインレピュテーションの悪化によるブロック回避 - メールやSMSは着弾してすぐにアクセスする傾向があるため、収益化に問題なし 出典:フィッシング対策協議会 https://www.antiphishing.jp/report/phishing_report_2022.pdf
IPFSのフィッシング とは 2022年より広く脅威として認識され始めた新しいテクニック Web3のInterPlanetary File System(IPFS)を悪⽤した防弾ホスティング フィッシングメール内の誘導URLがIPFSゲートウェイ※ http[s]://<gateway domain>/ipfs/<CID> http[s]://<CID>.<gateway domain> ※ 本来 ipfs://<CID>でipfs上のコンテンツにアクセスするが、 IPFSプロトコル未対応のWeb ブラウザ(ChromeやEdge、Safariなど)がまだ多いため、ゲートウェイ利⽤が主流 Ø <gateway domain> = ipfsゲートウェイサービスの正規ドメインなど Ø 例︓「ipfs.io」「ipfs.fleek.co」や「ips-fleek-co.translate.goog」などなど 稼働しているIPFSゲートウェイの確認 https://ipfs.github.io/public-gateway-checker/
攻撃者のIPFSの悪⽤メリットとデメリット メリット ü ドメインレピュテーションの回避 ü 分散管理のためコンテンツがホス ティングプロバイダーなどに削除さ れにくい ü キャンペーンを⻑持ちさせられる ü (新規ドメインの取得が不要) IPFS デメリット ü 窃取したクレデンシャル情報を攻撃 者に送信する仕組みを別で⽤意する 必要がある(IPFSには動的な仕組みが ない、クライアントは単にデータの 読み取り専⽤コピーを取得するだけ) ü JavaScriptなどクライアントサイド のスクリプトコードやヘッドレス フォームにてAPI駆動でクライアント に⼊⼒させた情報を攻撃者に送信し なければならない
フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖ Confidential. For internal use only.
従業員や友⼈・家族を守るためには︖ フィッシングサイトに情報を⼊⼒しない • ⽔際対策としては、有効な秘密情報を送信しない。巧妙なフィッシングサイトを⾒抜けるか・・ フィッシングURLにアクセスしない、そのメール/SMSも開かない • フィッシングURLにメールアドレスが含まれている場合、URLアクセスだけで攻撃者にメールアド レスのアクティブ状況を提供してしまう可能性・・ • メール/SMS開封の⾃動通知機能などにより、開くだけで攻撃者にアクティブ状況を提供してしま う可能性あり・・ パスワードの使い回しをやめましょう • 同じパスワードを使い回していると、パスワードリスト攻撃の被害にも遭いやすい
フィッシングサイトに情報を⼊⼒しないためには︖ ⾃分がアクセスしているのがフィッシングサイトだと⾒抜く ü ドメイン名を⾒て気づく ü どこかコンテンツの表⽰がおかしくて気づく(レイアウトがずれているなど) ü URL分析サービスにてスキャンして気づく ü CloudFlare Radar (new! URL Scanner 2023/03~) など (https://radar.cloudflare.com/scan) ü urlscan.io (https://urlscan.io) ü VirusTotal (https://www.virustotal.com/gui/home/url) ü TrendMicro (https://global.sitesafety.trendmicro.com/?cc=jp) ü Google SafeBrowsing (https://transparencyreport.google.com/safe-browsing/search?hl=ja) あるIPFSを使ったMicrosoftアカウントのフィッシングサイトに対しての結果の⼀例 (タイムラグ数時間: 2023/7/11にInTheWildとなったURLを同⽇スキャン) CloudFlare Safe (画⾯は取得できていた) urlscan.io Potentially Malicious VirusTotal 0/90 Trendmicro Phishing Google Malicious
フィッシングURLにアクセスしない、メール/SMSも開かないためには︖ フィッシングURLにアクセスしない ü セキュリティ製品の⾃動検疫サービスでフィッシングURLを受信しない ü 各種EDRのメール本⽂内URLの監査 や 各種WebGWの「Isolation Browsing」機能など ü フィッシング対策機能が強化されているメールサービスを利⽤し、気づく ü 正規メールにブランドアイコンが表⽰されるなど メールやSMS⾃体も届かせない ü DMARC 送信元ドメインを認証するプロトコル ※正規ドメインの所有者コントロール ü 「なりすまし」送信メールの検出と制御 ü 迷惑SMS 拒否機能 (2022~) ※SMS受信者にてコントロール ü ドコモ、au、ソフトバンクなど⼤⼿キャリアで提供されはじめている(現状、追加料⾦なし) SNSのチャットやオークションサイト、動画配信サイトのコメントなどの経路からの フィッシングサイトへの誘導には不⼗分
パスワードの使い回しをやめましょう ü 記憶に頼らずローカルの「パスワードマネージャー」で管理する癖をつけて、サービ スごとに異なるパスワードに︕ ü 「3Dセキュア」など詐取が難しい認証要素を取り⼊れた多要素認証(MFA)も︕ さらには、認証済みのセッション情報を盗む「AiTM」攻撃への耐性も⾼めるためには、 ü FIDO2ベースの⽣体認証や証明書による認証などのパスワードレス認証を利⽤︕ 画像引用: Digital Keeper h.ps://keepmealive.jp/stop-password/
後学のための参考資料 ü フィッシング対策協議会「フィッシングレポート2023」 https://www.antiphishing.jp/report/phishing_report_2023.pdf ü フィッシング対策協議会「フィッシングレポート2022」 https://www.antiphishing.jp/report/phishing_report_2022.pdf ü クライアントサイドクローキング⼿法とPhishingJS(検出⽤の深層学習モデル) https://unit42.paloaltonetworks.jp/javascript-based-phishing/ ü AiTM攻撃 ü https://www.lac.co.jp/lacwatch/report/20220909_003103.html ü IPFSフィッシングの動向 ü https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ipfs-a-new-data-frontier-or-anew-cybercriminal-hideout ü https://gblogs.cisco.com/jp/2022/11/talos-ipfs-abuse/ ü https://unit42.paloaltonetworks.jp/ipfs-used-maliciously/ ü フィッシングURLのデータベースら ü PhishTank (https://phishtank.org)、PhishStats (https://phishstats.info)、 OpenPhish (https://openphish.com) ü NTTセキュリティのChatGPTでフィッシングサイトを判定する研究 https://jp.security.ntt/tech_blog/102ih4e
アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた
フィッシングサイトのデータ分析ハンズオン 事前説明 Confidential. For internal use only.
課題︓ データから傾向を読み取る JPCERT/CCがgithubで公開しているフィッシングサイトのリストを利⽤して、 2022年4⽉~2023年3⽉の1年において、どの事業者になりすましたフィッシングサ イトが多かったかを分析してみましょう。 • リスト本体 https://github.com/JPCERTCC/phishurl-list • データ概要説明 https://blogs.jpcert.or.jp/ja/2022/08/phishurl-list.html 1. 横軸︓「⽇付」、縦軸︓「URL数」、凡例︓「上位30事業者+OTHERS」の週次タ イムチャートを作成する ※OTHERS = その他の総和 2. (Optional) 凡例を次に変更する どのパターンのフィッシングURLが多かったか ① ドッペルゲンガードメイン(正規ドメインと類似しているもの) ② 独⾃ドメイン ③ 短縮URLサービス ④ Dynamic DNSサービス ⑤ IPFSゲートウェイ ⑥ 直IPアドレス (正規ドメインと類似していないもの)
解答のグラフ(タイムチャート)のイメージ図 課題1 課題2
JPCERT/CCのphishurl-listのrawデータ形式 週&descriptionでグループ化し、URL数をユニークカウントする統計処理が必要 Excel手作業で分析される方は 、テキストエディタで事前にデファング「http -> hXXpと . (ドット) -> [.] などに置換」し、 ハイパーリンクが生成されないようにしてください。
フィッシングサイトのデータ分析ハンズオン 解答概要 Confidential. For internal use only.
データ加⼯&可視化ツールの紹介 Excel (⼿作業 or VBAマクロ) Julia (DataFrame + Plots,PlotlyJS,PyPlot) Python (pandas + matplotlib) R (標準データフレーム + ggplot2) Elastic Stack (File Data Visualizer + TSVB) ⭐ Splunk (Free版でOK)
Excel (⼿作業 or VBAマクロ) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. CSVを読み込んだ際の⽂字化け、UTF-8で開きなおす ü https://www.pc-koubou.jp/magazine/38143 3. 不要なカラム列やゴミ⾏を削除 4. ピボットテーブルを使い、⾏:date,列:description,値:URLにする 5. グループ化によりdateを1週間単位にする ü https://hamachan.info/win7/excel/pibot.html#st-toc-h-2 6. ⾏と列を⼊れ替える(⾏:description, 列:date) 7. 値で降順ソートをして、上位30⾏を抜き出す 8. 残りをOTHERとして合計値を取りOTHER⾏を作成 9. 別シートに7.上位30⾏と8.OTHERの結果を連続して貼り付ける 10.7に対して線形グラフを作成 11.縦軸・横軸を⼊れ替える 「VBAマクロ」で 作成する⼿もある JPCERT/CC公開情報のURLはデファング(無害化)されてないため、 ⼿作業中に誤ってフィッシングURLにアクセスしないように︕
課題1: Excel (⼿作業 or VBAマクロ) の解答例
Julia (DataFrame + Plots,PlotlyJS,PyPlot) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイル にする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. Julia 1.9.2 環境で実⾏ (Jupyter notebookの例) GitHubの本コードレポジトリ - https://github.com/Tatsuyahasegawa/SR01_jupyter_timecharts/tree/main/Julia
課題1: Julia (PlotlyJS)の解答例
Python (pandas + matplotlib) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイル にする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. Python 3.11 実⾏環境で実⾏ (Jupyter notebookの 例) GitHubの本コードレポジトリ - https://github.com/Tatsuyahasegawa/SR01_jupyter_timecharts/tree/main/Python
課題1: Python (pandas + matplotlib)の解答例
R (標準データフレーム + ggplot2) 1. ⽉毎のCSVファイルをマージして⼀つのCSV ファイルにする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. R 4.3.1 実⾏環境で実⾏ GitHubの本コードレポジトリ - https://github.com/Tatsuyahasegawa/SR01_jupyter_timecharts/tree/main/R
(参考) R professional example: 現代⾵(tidyverse特化版) R⾔語のプロによるスマートな書き⽅ ü 現在のtidyvserseではlubridateが⾃動読み込 みのため不要 ü Others抽出のための頻度計算がfct_lump_n() で楽々 ü geom_lineのstat=“count”オプションで集計 GitHubの本コードへのリンク - https://github.com/Tatsuyahasegawa/SR01_jupyter_timecharts/blob/ main/R/sr_phishing_kadai1_professional.r
課題1: R (標準データフレーム + ggplot2)
Elastic Stack (File Data Visualizer + TSVB) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. docker elkstackを起動する • https://github.com/deviantony/docker-elk https://qiita.com/ohhara_shiojiri/items/0b45fd000103b7345073 3. WebUIで操作 File Data Visualizer TSVB (Time Series Visual Builder)
課題1: Elastic Stack (File Data Visualizer + TSVB)の解答例
Splunk (Free版でOK) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. docker splunkを起動する • https://github.com/splunk/docker-splunk • https://qiita.com/class2glass/items/fc40fad51ce056e85ea8 3. WebUIで操作
課題1: Splunk (Free版でOK)の解答例
課題2: Splunk (Free版でOK)の解答例
アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とそのときの気づき⽅
ディスカッションテーマ ⾝近にあったフィッシング攻撃とそのときの気づき⽅ 例︓業務⽤メールアドレスに来たフィッシングメールが、 普段⾒かけない英語メールだったため気がつけた 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackに書き込む形で交流してみましょう。 最後に発表やまとめは⾏う予定はありませんが、興味深いものは花⽥会⻑が紹介してくれるかも!? Confidential. For internal use only.