フィッシング詐欺進化論
事例
昨日、とある商品をGoogle検索して見たんですよね。
そしたらアマゾンに関するリンクが2つほど。
その商品自体の「商品ページ」
その商品に関する「Amazon 売れ筋ランキング」
この内、2つ目は何かおかしい事にお気づきでしょうか?
1つ目のドメインは「amazon.co.jp」
2つ目のドメインは「dtioykqj1u8deドットcloudfrontドットnet」
見比べてみる
「amazon.co.jp」と「dtioykqj1u8deドットcloudfrontドットnet」を見比べて見る
【amazon.co.jp】
【dtioykqj1u8deドットcloudfrontドットnet】
更新内容などもリアルタイムで反映されており、サイト内を巡回する分には、本物とほぼ同じでした。
※ 皆さんは dtioykqj1u8deドットcloudfrontドットnet にはアクセスしないようにしましょう。
Amazon CloudFront
ここまで読むだけだと「cloudfront.net」は詐欺サイトの所有する独自ドメインのように思えますが、実はこれ「Amazon CloudFront」と言う『CDN(Contents Delivery Network)』サービスのものです。
●CDN(Contents Delivery Network)
CDNとは、一言でいうと「エッジサーバーにアクセスを分散させ、オリジンサーバーの負荷を軽減する」サービスです。
Amazon CloudFrontの場合 xxxxxx.cloudfront.net がデフォルトドメインとして付与されます。
デフォルトドメインのままでは、アレなので通常はそこに独自ドメインを割り当てて運用します。
なお、CDNサービスの提供は、Amazon CloudFront(Amazon社)の他にも
・Google Cloud CDN(Google社)
・Azure CDN(Microsoft社)
・Fastly(Fastly社)
・StackPath(StackPath社)
・HyperCDN(ハイパーボックス社)
などがあります。
ややこしいのですが、AmazonのCDNサービスを使ってAmazonに似せた詐欺サイトを作るという、まあ何とも滑稽な事例ではありますが。
●誤解をしないで欲しいこと
誤解をしないで欲しいのが、必ずしも「xxxxxx.cloudfront.net」のドメイン=悪ではないと言うこと。
ほとんど真っ当なサイトが利用しているのですが、今回は詐欺サイトに悪用されてしまったと言う事。
とは言え「独自ドメイン」を割り当てず、デフォルトドメイン(xxxxxx.cloudfront.net)ままと言うのは、流石に信頼性に欠けますよね。
何かこう変なというか、不自然なURLの場合、詐欺サイトと疑った方が良いかとは思います(警戒するに越したことは無い)
●一瞬、思ったこと
一瞬、Amazon自体が自社のCDNとして使ったのかも?とも思いましたが
そもそも「Amazon CloudFront」はクライアントへ提供するサービスである。
実際に「dtioykqj1u8deドットcloudfrontドットnet」内を色々といじって試して見たのですが、Amazon自体が運営するには不都合な点が何箇所かある。
Amazonがこんな不自然なURLで運用するとは考えにくい
と言うことで、やっぱ詐欺サイトだなコレ、と結論が出ました。
何が厄介なのか
今回のケース、何が厄介なのかと言うと
フィッシングサイトがGoogleにインデックスされてしまっている
CDNを使っているので、コンテンツ内容がリアルタイムに反映される
●「1」に関して
メールとかだったら、注意深く見るし気づきやすくもある。
がしかし、Goggleなどの検索結果ですよ。
これ、本記事の画像では、敢えて他のリンクをマスクして隠しているから分かりやすいけど、そうでなければ気づきにくいです。
大体、Goggle検索でAmazonのフィッシングサイトが表示されるとは普通は思わない。
さらに言うと
急ぎの時や疲れている時、結果一覧なんかにいちいち注意なんて払えるのだろうか
URL表記欄なんて小さく見えにくい表示になっている
今回はたまたま詰めが甘く、デフォルトドメインのままだったので気づきやすいが、もし「amazon.co.jp」に酷似した独自ドメインを割り当てられていたら?
上記の3つの要素を踏まえた場合、違和感に気づく自信はありますか?
肝心な事なので、もう一度言いますよ。
メールではなく、Goggle検索結果一覧に表示されてしまっているので、警戒心が薄くなってしまっているのです。
●「2」に関して
先述の「CDN(Contents Delivery Network)」の通り。
「1」の術中に嵌まった後では、ほぼ分からない。
おまけにFavicon画像まで一緒になっている。
【昨日は検索結果に出ず】
ちなみにですが、これ一昨日は検索結果に出てたのですが、昨日になったら出なくなっているんですよね。
Google側がインデックスを外したのかも?
※ 偽サイト自体は生きてます
●フィッシング対策協議会
ここで「フィッシング対策協議会」の月次報告(2024年7月)を見てみましょう。
ふむふむ、そう言えばヤマト運輸を語る詐欺メールは最近多いですね。
あと、やはりAmazonも上位に食い込んでいる。
予防方法
本事例の予防方法について記す
1.正しいドメインをブラウザの「ブックマーク」に登録して、そこからアクセスするようにする。
2.例えば「Safari」であれば、MacBookの「Touch ID」と連携したサイトログイン方式にする
3.特に通販サイトや公共サービスなどは、検索結果一覧からアクセスするドメインに注意を配る
「1」と「2」は当然併用する。
「2」に関してだが、もしドメインが違っていれば、いつもは表示されるはずの「Touch ID」ログイン表示がされず異変に気づきやすくなります。
ちょっとでも違和感を感じたら即刻ストップして、フィッシング詐欺などを疑う訳です。
著書
【辛島信芳の著書】
IT技術などに興味のある方は、是非ご覧になってください。