アメリカ合衆国郵便公社であるUSPS(United States Postal Service)は、郵便サービスを提供するアメリカ政府の独立機関の一つで、アメリカで一般的に使用されているサービスです。最近、 USPSのフィッシング ドメインのトラフィックが実際の公式サイトのトラフィックより極めて高かったというセキュリティ企業の調査結果が複数のグローバルメディアで報道され、話題になっています。
今回の記事では、フィッシング攻撃者たちがどのような方法でUSPS偽装ドメインを悪用しているのかについて説明する。また、脅威インテリジェンス検索エンジンであるCriminal IPのDomain Searchリンクスキャナー機能を使って、疑わしいフィッシングサイトを悪用したスミッシング詐欺を識別する方法を紹介する。
今回は、フィッシング攻撃者がどのようなやり方でUSPSのフィッシングドメインを悪用しているかを調べていきます。また、脅威インテリジェンス検索エンジンCriminal IPのドメイン検索のリンクスキャナー機能より、不審なフィッシングサイトを悪用したスミッシングを見分ける方法を共有したいと思います。
USPSのフィッシング サイトとスミッシングの巧妙な手口
2001年、USPSはユーザーに1,036億通以上の配達状況メールを送信したそうです。それだけ米国でUSPSの利用率は非常に高いといえます。現在は、メール送信システムより簡単なモバイルメールサービスが普及し、リアルタイムの配達状況チェックがより容易になりました。しかし、モバイルサービスで便利になったのと同時に、宅配便の利用者を狙うスミッシングも盛んに行われています。実際にUSPSのスミッシングとして送信されたメールに添付されたURLを見ると、「追跡(Track)」、「モニター(Monitor)」、「郵便物(Package)」など、郵便物を待つユーザーのクリックを誘導するキーワードが使用されたドメインがほとんどです。
報道された記事によると、分散型コンピューターの専門企業であるアカマイ(Akamai)は、5ヶ月間、悪意のあるJavaScriptコードを含むドメインにリダイレクトされる不審なUSPSフィッシングのSMSを分析したそうです。その結果、「.com」、「.top」、「.shop」、「.xyz」、「.org」、「.info」などの人気のトップレベルドメイン(Top-level Domains、TLDs)を使用したUSPSのフィッシングサイトで発生した総クエリは、100万件を超えていました。さらに、11月末から冬休みシーズンが始まると、フィッシングサイトの総クエリが公式サイトであるusps.comで発生したクエリの数を上回ることが確認できました。SMSに挿入された悪質なURLをクリックした場合、モバイルに連動されているユーザーのアカウント情報、カード情報などの機密情報が流出される可能性があります。
AIリンクスキャナーが検知した USPSのフィッシング サイトの統計
AIリンクスキャナーの拡張機能「Criminal IP」で過去8ヶ月間検知されたUSPSのフィッシングサイトを分析してみました。Akamaiの分析インサイトと同様に年末年始、宅配便の使用量が多くなる時期にフィッシングサイトが急増しました。
フィッシングサイトが一番検知された1月には総計323件のUSPSのフィッシングドメインが発見され、最近までも1ヶ月に100件から200件に至る多数のフィッシングサイトが検知されています。
有名なサービスであるほど、サイバー攻撃者のフィッシング攻撃の対象になりやすいです。また、統計からも分かるように、攻撃が多く発生する時期には、被害者の被害届やサイバー捜査によりブロックされるドメインも多くなり、それだけ新しいフィッシングサイトが多く生成されます。
リアルタイムのリンクスキャナーで USPSフィッシング サイトを見分ける
USPSのフィッシングサイトは、有名なフィッシング攻撃であるため、素早く生成され、消えました。このような特徴により、被害者は毎回新しいフィッシングサイトが挿入されたスミッシング攻撃を受けることになり、どのリンクがフィッシングリンクであるかを見分けることがより難しくなります。
この時に必要なのが、リアルタイムのリンクスキャナー、URL検査ツールです。Criminal IPのドメイン検索では、不審なURLを入力してスキャンし、リアルタイムでフィッシングサイトを検出します。
私たちは、最近スミッシング攻撃に使われたUSPSフィッシングサイトのドメインをドメイン検索にスキャンしてみました。
フィッシングサイトのURLは、usps-pr[.]helptme[.]helptme[.]top/address.htmlであり、「.top」のトップレベルドメインを使用し、URIにはやはりUSPSの文字列とhelptmeなどのユーザーのクリックを誘導するキーワードが含まれています。
- USPSフィッシングサイトをリンクスキャナーでスキャンした結果を確認する:https://www.criminalip.io/ja/domain/report?scan_id=12637492
スキャンの結果、当サイトは99%の危険レベルのクリティカルなドメインとして判断され、作成されてから1ヶ月も経っていないドメインであることが確認できました。また、主に悪意的な目的で使用されるリダイレクトイベントもhtmlコード内に含まれていて、使用中のファビコンも偽のファビコンとして判断されました。決定的なのは、AIによって判断されるフィッシングURLの確率が96.38%で、非常に高いでした。
USPSフィッシングサイトのスミッシングのように、攻撃者の間で流行っているフィッシング攻撃は、毎回新しいドメインを使用するため、このようなスキャンツールや脅威インテリジェンスを使用して予防するのが良いです。頼んでもいない宅配便や郵便の配送追跡リンクが添付されたメールを受け取った場合は、リンクをクリックする前にCriminal IPにスキャンしてもらい、上記の項目に問題がないかを確認する必要があります。
フィッシング攻撃に使用されるドメインは、アクセスするだけでマルウェアがダウンロードされたり、情報が流出される危険性があるので、クリックしない方が良いです。Criminal IPのリンクスキャン結果には、スクリーンショットデータが含まれていて、実際のフィッシングサイトにアクセスしなくても、そのドメインのアクセス画面を確認することができます。左の画像は、USPSの公式サイトの配送追跡画面であり、右の画像は、ドメイン検索でスキャンしたフィッシングサイトの画面です。2つの画面を比べてみると、USPSのフィッシングサイトは、被害者がアクセスした後、特に疑うことなく個人情報を記入するほど精巧に作られています。
Criminal IPのドメイン検索でスミッシングを事前に防ぐ
USPSだけでなく、多くのグローバルブランドになりすますドメインは、AI技術の発展によりねずみ算式に増加し、同時にフィッシング攻撃の被害ケースも増加しています。フィッシングサイトがますます巧妙化、高速化するにつれて、予防方法の高度化が必須になりました。疑わしいドメインを発見した場合は、Criminal IPのドメイン検索をリンクスキャナーとして活用し、フィッシングかどうかだけでなく、ドメインの各構成要素に対するセキュリティインテリジェンスまで詳細な情報を確認することができます。
疑わしいサイトにアクセスする必要がある場合、ドメインアドレスをCriminal IPのドメイン検索にスキャンし、スミッシングを予防することをお勧めします。
関連して迷惑メールブロックサービスも逃れるQRコードフィッシング、脅威インテリジェンスで検知されるのかの投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
