フィッシングサイトの模倣手法と対策:ドメイン詐欺の見分け方とセキュリティ対策
2024年10月30日
画像:国内金融機関をターゲットとしたフィッシング詐欺において用いられたコピーサイトのイメージ。サイバースクワッティングとタイポスクワッティングの混合運用であり、別のフィッシングサイトへの「踏み台」として機能していました(ケーススタディはこちら)。弊社フィッシングサイトテイクダウンサービスの結果、完全無効化達成済みです。
1 フィッシングサイトの手口とサイバースクワッティングの危険性
通常フィッシングサイトは正規サイトの外見を模倣しますが、模倣の完成度は様々です。完璧に細部まで再現しているものもあれば、大まかな雰囲気を真似るだけに留めるものもあります。そもそもフィッシングサイトの目的は、模倣サイトから、実際に個人情報やクレジットカードデータなどの個人情報を入力させる「犯行サイト」に、色々な理由をつけてユーザーを「移動させる」ことにあるので、模倣の度合いは、その理由付けによってはいい加減でも成立する場合があります。
2 フィッシングサイトの模倣度:完璧な模倣と不完全な模倣の違い
問題なのは、完璧に細部まで模倣している場合で、特に、ドメイン名についても実際にありそうな形式にしているものです。フィッシングサイトは、外見は完璧に模倣していても、ドメイン名を見ると正規サイトのドメインと全く無関係な意味のドメイン名を使っていったり、HTTPSに対応していなかったりと、「技術的な角度」から容易に判別できるものが多いです。実際、フィッシングサイトを判別するための基本は、「HTTPSに対応しているかどうかをチェックする」や「ドメイン名が違わないかチェックする」ことです。
3 サイバースクワッティングとタイポスクワッティングの違いと対策
しかし、正規サイトのドメイン名とフィッシングサイトのドメイン名が、.comが.co.jpに変えられている場合、や、.coが.comに変えられている場合、あるいは、一文字だけ文字を追加して、それも自然に見えるようなものを追加する、といった場合が問題です。前者はサイバースクワッティング、後者はタイポスクワッティングという、どちらもフィッシングサイトほどに直接的な個人情報の詐取を狙った悪質なものではないにせよ、それに準ずる悪質さをもった行為です。
3.1 サイバースクワッティングとは
サイバースクワッティングとは、ブランド名を勝手に利用して正規サイトとそっくりの外見のサイトやドメイン名をつくり、そこで広告収益を得ようとしたり、ユーザーの誤解を招く情報を拡散したり、といった、個人情報の詐取ほどに直接的な犯罪行為ではないが、グレーから犯罪スレスレの行為を行うサイトのことです。サイバースクワッティングサイトは、ブランドの風評を毀損する結果を引き起こすため、極めて有害なものであるといえます。
3.2 タイポスクワッティングとは
タイポスクワッティングサイトは、タイポ、つまりタイプミスを利用して偽のサイトを正規サイトと誤認させることにより、偽のサイトにユーザーを誘導して、何らかの利益を得ようとするサイトのことです。具体的には、google.comであれば、gooogle.comのように、amazon.co.jpであれば、amzon.co.jpのように文字を追加したり削除したりすることで、ユーザーがタイプミスした場合に誤ってアクセスすることを狙って作られます。もしユーザーがこれらのサイトにタイプミスをして間違えてアクセスしてしまい、さらにそれをブックマークしてしまった場合、以後正規サイトのつもりでアクセスしているサイトが、タイポスクワッティングサイトである、ということになってしまいます(念のため、ブックマークを再度確認することをおすすめします)。
4 ボット対策とスクレイピング対策が鍵
前述した通り、フィッシングサイトは、外見の模倣性が高く、ドメイン名の模倣度が高い場合に、危険度が増します。ドメイン名の模倣度は、サイバースクワッティングやタイポスクワッティングに見られるような要素を組み合わせて模倣することにより上がる傾向があります。もちろん模倣サイトから移動させられる「犯行サイト」の外見で区別することもできますが、実はそれが盲点です。そう思うのはすでに正規サイトとその遷移先サイトの外見を知っているからそう思うだけであり、初見のユーザーの場合、正規サイトの外見の情報は無いので、「犯行サイト」が正規サイトの遷移先とどこが違うかを判断する情報は持っていません。また、再訪ユーザーであっても、「デザインの変更があったのではないか」と考える可能性もあり、引っかかる可能性は常に一定程度あります。
5 クラウドフレアとWAFでフィッシング対策を強化
模倣度の高いフィッシングサイトを作らせないためにはどうすればいいのでしょうか。そのための方法はいくつかあります。まず、サイトの外見上の模倣度を高めさせないためには、正規サイトへのスクレイピングを行えないようにする、ということが有効です。これは、ボット対策を徹底する、とも言いかえられます。
模倣度の高いサイトを作るためには、レスポンスBodyのデータを大量に取得する必要があり、ターゲットの正規サイトのページ数が多量である場合手作業ではできないでしょうから、多くの脅威アクターはボットを使いスクレイピングし、正規サイトを構成しているHTMLやCSSやJSのリソース内容を取得しようとします。そこで、スクレイピング対策やボット対策、レートリミットを行うことで、自動化されたリソース取得を防げるため、脅威アクターは手動でリソースを得なければならなくなり、ページ数の多いサイトであれば、事実上模倣を不可能にできます。補足的には、ページのリソース内容、つまりデザインを頻繁に更新する、もしくは、そもそも動的に生成する、という手段も有効で、これにより、脅威アクターが模倣した努力をその度に無に帰すことができます。
このようにボット対策を重視することがフィッシングサイトの作成難易度をあげることから、弊社ではセキュリティ対策としてクラウドフレアの導入をおすすめしています。理由は、クラウドフレアのBotファイトモードやWaf機能です。クラウドフレア以外では、Modsecurityを始めとするオープンソースWAFの導入も効果的です。
弊社ではフィッシング対策の観点からクラウドフレア導入支援を行う「クラウドフレア導入支援サービス」を提供しておりますので、そちらもあわせてご検討下さい。
6 模倣の速度を追い越し続け、模倣のコストを非現実的にする
注意点があり、ボット対策やスクレイピング対策のソリューションがフィッシングサイトの作成難易度をあげる、という点は、正規サイトのページ数つまり分量が多い場合に限られます。この戦術の勘所は、脅威アクターが正規サイトを模倣してフィッシングサイトを作る「速度」を、こちらが上回り続けることで、模倣を不可能にする、という点にあります。これにはサイトの分量が、一定数以上ないと手動の速度で追いつかれ、効果はありません。例えば、10ページ程度のサイトやLPだけであれば、インスペクターツールを使って手動で簡単に模倣できるため、速度で追いつかれた状態といえます。もちろん10ページ程度のサイトの場合でも、動的なページ更新、を取り入れることで、頻繁な変更をおこない、脅威アクターの模倣を「妨害する」ことで、速度で追いつけなくするというやりかたは依然有効ですが、シンプルにページ数を増やすのが簡単で効果的です。
本質を言いうと、この戦術の勘所は、大雑把な比喩ですが、RSA暗号が、公開鍵の素因数分解が計算上非現実的であることをセキュリティの基盤として利用しているのと似ています。「模倣のコストを非現実的にする」、ということです。それが可能な方法は有効です。