2020 年 8 月 18 日 Ryan Estes 著

ウォッチガードの、DNS レベルの保護とフィルタリングサービスである DNSWatch は、毎日多数のフィッシングを検知して処理しています。フィッシングの多くは単調で、独自なものはほとんどありません。しかし DNSWatch 専属の分析チームは定期的に他と違って特徴のあるフィッシングを検出して優先的に分析することがあります。この記事では、DNSWatch が検知した、実際のフィッシングとその特徴的なミスについて、アナリストがオープンソースツールを使用してどのように情報を収集しているかを紹介します。

フィッシングについて

URL: s3[.]us-west-1[.]wasabisys[.]com/tranqueavisp/indexs[.]html

サイトに移動するとすぐに危険信号があります。まず最も明白なのは、Web サイトに Facebook のログインページが表示されているものの、URL が Facebook のドメインではないということです。次に、ログインページには赤色のフォントで以下のような警告バナーが表示されています。「Facebook は、この動画へのアクセスを許可するためにあなたのアカウント情報を確認する必要があります」これらの情報から、このフィッシングは Facebook の動画（または Facebook の動画のなりすまし）から派生したものであるか、攻撃者が意図的に警告バナーを表示させ、被害者に認証情報を入力させようとしていると推測できます。しかし当記事執筆時点で、Facebook のログインページは更新されており、このフィッシング詐欺とは似ても似つかないものになっています。現在の Facebook のログインページは以下の画像でご覧いただけます。

ソースコードの検査

上記の情報だけでもフィッシングの可能性は高いと結論づけることができますが、もう少し詳しく見てみましょう。Web サイトのソースコードを検査し認証フォームに移動すると、明らかな異常が存在します。認証情報を送信して「Continue」をクリックすると、フォームアクションは外部サイト（https://lsdd[.]host/mango.php）に POST リクエストが送信されています。この時点でこれがフィッシングであることは確信できます。いくつかのオープンソースツールを使用して、この Web サイトがこのフィッシングでどのような役割を果たしているか、見てみましょう。

DNS 情報

DNS 検索では、このドメインはプロキシとして Cloudflare を使用していることがわかります。しかし TXT レコードは、このドメインの所有者が未知の IP アドレス（94[…]242[…]61[…]15）を使用して設定された SPF レコードを持っていることを示しています。

IP アドレス検索

Pulsedive などのオープンソースツールを使用すると、この IP アドレスはロシアのモスクワからのものであるとわかります。また、この IP アドレスは HTTP（S）、FTP（S）、IMAP（S）、SMTP（S）、DNS のポートが開いていることも注目に値します。Facebook はもちろん、モスクワに認証情報を送信しているわけではなく、上記のようなポートをインターネット上に開放しているはずもありません。この攻撃者は、自身のものである（可能性のある）IP アドレスを SPF レコードに残すというミスを犯しており、そのせいでこれがフィッシングであることが筒抜けであるだけではなく、この IP アドレスが攻撃者自身のものである可能性を露呈しています。

まとめ

DNSWatch は元の Web サイトを分析して収集した情報に基づき、次のように結論づけています。

• 最初のフィッシングサイトは Facebook になりすまし、警告バナーを使って被害者に認証情報の入力を強要していた。
• ソースコードから、認証情報送信時に https://lsdd[.]host/mango.php への POST リクエストを試みていることがわかる。
• lsdd[.]host の DNS 検索を行うと、攻撃者自身のものである可能性の高い、実在の IP アドレスの SPF レコードを定義していることがわかる。
• この IP アドレスを検索すると、ロシアのモスクワから発信されているという情報が示される。