フィッシング詐欺進化論

事例

昨日、とある商品をGoogle検索して見たんですよね。

そしたらアマゾンに関するリンクが２つほど。

1. その商品自体の「商品ページ」

2. その商品に関する「Amazon 売れ筋ランキング」

この内、２つ目は何かおかしい事にお気づきでしょうか？

１つ目のドメインは「amazon.co.jp」

２つ目のドメインは「dtioykqj1u8deドットcloudfrontドットnet」

※ 間違って踏まないよう、敢えて「.」→「ドット」の表記をしてます

見比べてみる

「amazon.co.jp」と「dtioykqj1u8deドットcloudfrontドットnet」を見比べて見る

【amazon.co.jp】

【dtioykqj1u8deドットcloudfrontドットnet】

更新内容などもリアルタイムで反映されており、サイト内を巡回する分には、本物とほぼ同じでした。

※ 皆さんは dtioykqj1u8deドットcloudfrontドットnet にはアクセスしないようにしましょう。

Amazon CloudFront

ここまで読むだけだと「cloudfront.net」は詐欺サイトの所有する独自ドメインのように思えますが、実はこれ「Amazon CloudFront」と言う『CDN(Contents Delivery Network)』サービスのものです。

●CDN(Contents Delivery Network)
CDNとは、一言でいうと「エッジサーバーにアクセスを分散させ、オリジンサーバーの負荷を軽減する」サービスです。

Amazon CloudFrontの場合 xxxxxx.cloudfront.net がデフォルトドメインとして付与されます。
デフォルトドメインのままでは、アレなので通常はそこに独自ドメインを割り当てて運用します。

なお、CDNサービスの提供は、Amazon CloudFront(Amazon社)の他にも
・Google Cloud CDN(Google社)
・Azure CDN(Microsoft社)
・Fastly(Fastly社)
・StackPath(StackPath社)
・HyperCDN(ハイパーボックス社)
などがあります。

ややこしいのですが、AmazonのCDNサービスを使ってAmazonに似せた詐欺サイトを作るという、まあ何とも滑稽な事例ではありますが。

●誤解をしないで欲しいこと
誤解をしないで欲しいのが、必ずしも「xxxxxx.cloudfront.net」のドメイン＝悪ではないと言うこと。
ほとんど真っ当なサイトが利用しているのですが、今回は詐欺サイトに悪用されてしまったと言う事。

とは言え「独自ドメイン」を割り当てず、デフォルトドメイン(xxxxxx.cloudfront.net)ままと言うのは、流石に信頼性に欠けますよね。
何かこう変なというか、不自然なURLの場合、詐欺サイトと疑った方が良いかとは思います（警戒するに越したことは無い）

●一瞬、思ったこと
一瞬、Amazon自体が自社のCDNとして使ったのかも？とも思いましたが

1. そもそも「Amazon CloudFront」はクライアントへ提供するサービスである。

2. 実際に「dtioykqj1u8deドットcloudfrontドットnet」内を色々といじって試して見たのですが、Amazon自体が運営するには不都合な点が何箇所かある。

3. Amazonがこんな不自然なURLで運用するとは考えにくい

と言うことで、やっぱ詐欺サイトだなコレ、と結論が出ました。

何が厄介なのか

今回のケース、何が厄介なのかと言うと

1. フィッシングサイトがGoogleにインデックスされてしまっている

2. CDNを使っているので、コンテンツ内容がリアルタイムに反映される

●「１」に関して
メールとかだったら、注意深く見るし気づきやすくもある。

がしかし、Goggleなどの検索結果ですよ。
これ、本記事の画像では、敢えて他のリンクをマスクして隠しているから分かりやすいけど、そうでなければ気づきにくいです。

大体、Goggle検索でAmazonのフィッシングサイトが表示されるとは普通は思わない。

さらに言うと

• 急ぎの時や疲れている時、結果一覧なんかにいちいち注意なんて払えるのだろうか

• URL表記欄なんて小さく見えにくい表示になっている

• 今回はたまたま詰めが甘く、デフォルトドメインのままだったので気づきやすいが、もし「amazon.co.jp」に酷似した独自ドメインを割り当てられていたら？

上記の３つの要素を踏まえた場合、違和感に気づく自信はありますか？

肝心な事なので、もう一度言いますよ。
メールではなく、Goggle検索結果一覧に表示されてしまっているので、警戒心が薄くなってしまっているのです。

●「２」に関して
先述の「CDN(Contents Delivery Network)」の通り。
「１」の術中に嵌まった後では、ほぼ分からない。

おまけにFavicon画像まで一緒になっている。

【昨日は検索結果に出ず】
ちなみにですが、これ一昨日は検索結果に出てたのですが、昨日になったら出なくなっているんですよね。
Google側がインデックスを外したのかも？
※ 偽サイト自体は生きてます

●フィッシング対策協議会

ここで「フィッシング対策協議会」の月次報告(2024年7月)を見てみましょう。

フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/07 フィッシング報告状況

2024 年 7 月のフィッシング報告件数は 177,855 件となり、2024 年 6 月と比較すると 33,695 件、約 23.4 % の急増となりました。
ヤマト運輸をかたるフィッシングが急増し、報告数全体の約 30.6 % を占めました。次いで各 1 万件以上の大量の報告を受領した Amazon、東京電力、三井住友カード、イオンカードをかたるフィッシングの報告をあわせると、全体の約 82.6 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 14 ブランドとなり、これらを合わせると全体の約 97.1 % を占めました。

https://www.antiphishing.jp/report/monthly/202407.html  より引用

ふむふむ、そう言えばヤマト運輸を語る詐欺メールは最近多いですね。
あと、やはりAmazonも上位に食い込んでいる。

予防方法

本事例の予防方法について記す

１．正しいドメインをブラウザの「ブックマーク」に登録して、そこからアクセスするようにする。
２．例えば「Safari」であれば、MacBookの「Touch ID」と連携したサイトログイン方式にする
３．特に通販サイトや公共サービスなどは、検索結果一覧からアクセスするドメインに注意を配る

「１」と「２」は当然併用する。
「２」に関してだが、もしドメインが違っていれば、いつもは表示されるはずの「Touch ID」ログイン表示がされず異変に気づきやすくなります。

ちょっとでも違和感を感じたら即刻ストップして、フィッシング詐欺などを疑う訳です。

※ もっとも「DNSジャック」と言う攻撃があって、正しいドメインだから100%安全とは言い切れませんが ……

著書

【辛島信芳の著書】
IT技術などに興味のある方は、是非ご覧になってください。

辛島信芳: books, biography, latest update