見出し画像

【サイバーセキュリティ】フィッシングサイト検証で分かったこと、その結果は?

tsukuru

この記事では、前回の続きでフィッシングメールに記載されている「リンク先」と「添付ファイル」を検証してみます。前回記事よりも少し深堀していますので聞きなれない用語がでてくるかもしれません。


なお、当方は検証用の環境で実施することで、感染等の被害を防いでいます。
危険なあやしいメールにつきましては、ぐれぐれも不用意に開かないようにご注意ください。

1.フィッシングサイト検証
2.ドメイン検証
3.添付ファイル検証

1.フィッシングサイト検証結果

◆サイト情報


ー>>サイトが表示されません。
サイトを公開していない場合も考えられますので、この結果だけでは何とも言えません。

少し調べてみると、このフィッシングサイトはメール受信日当日のみ有効であることがわかりました。

このフィッシングサイトは「当日に登録され、当日に公開、期限日が当日」になっていました。”足がつかないよう”準備されていた手口だと見受けられます。

フィッシングサイトURLがメール本文にあり、且つテキスト文字なら外部リンク先がフィッシング詐欺かどうか、ある程度判定できると思います。

ただし、少し巧妙な手口になると外部リンク先を直接貼らず「アカウントを更新する」で外部リンク(フィッシングサイト)に誘導させようとします。

リンク先はメールヘッダーではわかりませんが、右クリックでリンク先をコピーしテキストエディターなどでコピーすればURLが判明しますのでフィッシングサイトかどうか判別てきると思います。

※米alphaMountain.ai社の独自セキュリティテクノロジー判定だと「悪意のあるサイト(フィッシング詐欺)Suspicious」でした。

◆サイトの歴史


ー>>なし
ドメインから何時から開始され、何時クローズしてのか調査しても不明でした。ただし、別の角度から調査したところ「当日に登録され、当日に公開、期限日が当日」だと確認できました。一日だとサイト履歴には反映されないと勉強になりました。

◆SSL(https)化されたフィッシングサイト


https=安全なサイトではありません。今回のフィッシングサイトではSSLサーバー証明書を取得しSSL化されたURLでセキュアが確立されているとみなしアクセスをしても大丈夫だとは言い切れません。

SSL証明書はサイトの「実在証明」と「暗号化通信」ですので、サイトがフィッシングサイトなりすましでもSSL証明書は取得できます。

無償でSSL証明書は、独自で実装するか、レンタルサーバーの提供で実装する方法があります。

レンタルサーバー運営会社はフィッシングサイトとして利用されないよう対処として、その登録者が一度悪意のあるサイトを作成した"実績"があり、且つそれを把握していれば、その登録者をバンにしているところもあるようです。

「実在証明」ですが、無償SSL証明書(DV認証)は組織情報や認証局からの確認はなく、ドメイン所有者であれば、独自で実装したり発行される認証タイプです。

従って、これだけの情報だと悪意があるサイトか判断できませんので信頼性は高くありません。

フィッシングサイトを見てみると
SSL証明書の日付がありました。
Not Before: 2020-07-04 00:00:00(SSL証明書の発行日)
Not After: 2020-10-02 23:59:59(SSL証明書の失効日)
の確認が取れました。SSLの証明書期間は90日間です。無償SSL証明書は90日間が多くフィッシングサイトで悪用されることが多いようです。

また、無償SSL証明書は信頼性が低いため個人情報の入力は控えましょう。個人情報を入力するようなサイトは有償SSL証明書を使っています。

件のフィッシングサイトは無償SSL証明書で有名な「Encrypt」ではありませんでしたが、同様に無償SSL証明書「cPanel Inc」でした。

2.ドメイン検証

◆ドメインからIPアドレス変換


ー>>IPアドレス不明
トップドメイン(○○.ocm)が存在確認できず。

トップドメインでフィッシングサイトかどうか判断ができます。すでにトップドメインとして登録してある「COM」「JP」などは手数料を払えば使用することができますが、フィッシングサイト?「OCM」の場合、トップドメインとして登録がなく、独自トップドメインとして申請する必要があります。

以前は申請できましたが、現在は申請を受け付けていないようです。通常、申請すると、ドメイン管理しているICANN(米非営利法人)にリストアップされます。

件のリストを見てみるとフィッシングサイトのトップドメイン「ocm」はありませんでした。この点でも、フィッシングサイトだと判断できます。

◆サーバーポートスキャン検証


・サーバーのOS種類とバージョン
ー>>サーバー特定できず
・サーバーファイアウォール
ー>>ファイアウォール確認できず
・ポートスキャン
ー>>Failed 
結果、ドメインからのアプローチでは何かしらの痕跡が見つかりませんでした。サーバーが非公開なのか”落ちている”のか不明でした。

3.添付ファイル検証

検証用メールに送信したら、添付ファイルの中身が0バイトになり、中身の検証ができませんでした。メールサーバーが何かしらを検知し削除したようです。

どうやら、フィッシングサイト?外部リンクをクリックすると添付ファイルの中身のプログラムが実行・起動されるようです。何が実行され、どのような影響を与えるか”挙動”の確認ができませんでした。

次回は、「フィッシングサイト」や「なりすましサイト」にも使われるSSL証明書に関して書こうと思います。今回の記事によりフィッシングサイトへのアクセスが減少すれば幸いです。最後までお読みいただきありがとうございました。


いいなと思ったら応援しよう!