| 研究者 2019年10月24日


2019年10月24日

Lookout Phishing AI によって国連および人権擁護団体を標的としたフィッシング攻撃を検出

By Jeremy Richards

Lookout Phishing AI は、ユニセフなど様々な国連の人権擁護団体を含む世界中の非政府組織を標的としたモバイル認識型フィッシング キャンペーンを検出しました。Lookout は警察および標的となった団体に通報しましたが、このブログの公表時点でまだ攻撃は進行中です。 

Lookout リサーチャーが発見したモバイル端末に表示された実際のフィッシング サイトの一例

このフィッシング キャンペーンの背景

この攻撃につながっているインフラは、2019 年 3 月から存在していました。session-services[.]comservice-ssl-check[.]com の 2 つのドメインがフィッシング コンテンツをホストしており、これらはこのキャンペーンの期間中、111.90.142.105111.90.142.91 の 2 つの IP に紐づけられていました。関連付けられた IP ネットワーク ブロックと AS 番号 (Autonomous System Number) は、Lookout が調査したところ、レピュテーションが低く、また、過去にマルウェアをホストしていたことが認知されていました。

モバイル認識機能とキー ロギング

Lookout はこのキャンペーンで使用されていたいくつかの注目すべき技術を特定しました。その中にはモバイル端末を検出する機能と、パスワード フィールドに入力されたときにそのキーストロークを直接記録する機能がありました。

具体的に言えば、フィッシング ページの Javascript コード ロジックが、ページがモバイル端末に読み込まれているかどうかを検知し、読み込まれていればモバイル固有のコンテンツを配信するというものでした。モバイル Web ブラウザーは URL を短縮するため、意図せずしてそうしたフィッシング URL の難読化を助けることになり、その結果、被害者は偽装を見抜くことが難しくなるのです。

Lookout はまた、フィッシングのログイン ページのパスワードに埋め込まれたキー ロギング機能の証拠も収集しました。それによると、標的がログイン ボタンを押してログイン行為を完了しない場合や、別の、意図していたものとは違うパスワードを入力した場合でも、その情報はやはり、悪意のある攻撃者が操作するコマンド/制御インフラストラクチャに送信されていました。

SSL 証明書と人権擁護団体のドメイン

主要なブラウザーはすべて、期限切れの SSL 証明書についてユーザーに警告を通知します。こうした警告は非常に明確である (実際、無視するのは難しい) ため、有効期限が切れた証明書を使用するサイトでログイン資格情報を入力するようにユーザーを仕向けるのはほとんど不可能となります。その結果、一部のフィッシング サイトで見られる期限切れの SSL 証明書が、攻撃の期間に対する洞察を与えてくれます。

フィッシング サイトで使用される SSL 証明書は、大きく 2 つの有効期限に分かれていました。2019 年 5 月 5 日から 8 月 3 日までと、2019 年 6 月 5 日から 9 月 3 日までです。現在、6 件の証明書が依然として有効であり、Lookout ではこれらの攻撃がまだ進行中であると推定しています。このブログの末尾にある表には、標的となった組織、それらを標的とした URL、このレポートの執筆時において現在の SSL 証明書がサイトでまだ有効かどうかが記載されています。

Lookout リサーチャーが発見した実際のフィッシング サイトの一例。上:このフィッシング攻撃の標的となった組織の本物のログイン ページ。下:国際赤十字・赤新月社連盟の職員向けの本物の Office365 ログイン ページを偽装したフィッシング サイト。

Lookout Phishing and Content Protection

このキャンペーンで見つかったモバイル認識コンポーネントは、フィッシング攻撃が進化しモバイル端末を標的とするようになったことのさらなる証明です。モバイル フィッシングは、企業にとって増大するリスクの根源として出現してきました。ポストペリメターの世界と採用が広がる私的デバイスの使用 (BYOD) ポリシーによって、個人用端末と企業ネットワークとの境界が薄れているからです。そうした端末やモバイル機器全体により現れるマルチチャネルの脅威サーフェスの拡大は言うに及びません。

Lookout Phishing & Content Protection は、従来のフィッシング チャネルを超え、個人メールや企業メール、ソーシャル メディア、SMS、その他のメッセージングやアプリなど、あらゆるタイプのソースからのフィッシング攻撃を検出します。Lookout はまた、ユーザーの端末上のあらゆるアプリやチャネルにより配信される URL からのマルウェアやスパイウェアの配布、コマンド&コントロール サーバー、ボットネットなど、悪意のあるサイトへのアクセスも検出します。

  フィッシング攻撃 がさらに巧妙になっている理由については、こちらをご覧ください。

標的となった組織
URL
実際の SSL 証明書
国連世界食糧計画
fs.auth.wfp.org.adfs.ls.client-request-id.session-services.com
有効期限 11 月 23 日
国連開発計画
logon.undp.org.adfs.ls.client-request-id.session-services.com
有効期限 11 月 18 日
国連
sso.united.un.org.adfs.ls.clinet-request-id.session-services.com
有効期限 11 月 15 日
ユニセフ
login.unicef.org.adfs.ls.client-request-id.session-services.com
有効期限 11 月 16 日
ヘリテージ財団
heritage.onelogin.com.login.service-ssl-check.com
有効期限 11 月 18 日
国際赤十字・赤新月社連盟
sts.ifrc.org.adfs.ls.client-request-id.session-services.com
有効期限 11 月 16 日
米平和研究所
login.microsoftonline.com.common.oauth2.ip.session-services.com
期限失効 8 月 3 日
コンサーン・ワールドワイド
login.microsoftonline.com.common.oauth2.co.session-services.com
期限失効 9 月 8 日
ヒューマニティー・アンド・インクルージョン (フランス)
login.microsoftonline.com.common.oauth2.hi.session-services.com
期限失効 9 月 7 日
Social Science Research Council のサインオン ポータル
sso.ssrc.org.adfs.ls.client-request-id.63f91e15.service-ssl-check.com
期限失効 9 月 3 日
カリフォルニア大学サンディエゴ校
login.microsoftonline.com.common.oauth2.uc.session-services.com
期限失効 8 月 3 日
イースト・ウェスト・センター
eastwestcenter.org.owa.auth.logon.aspx.replacecurrent.service-ssl-check.com
期限失効 9 月 3 日
不明/ アクセス不能
login.microsoftonline.com.common.oauth2.br.session-services.com
期限失効 8 月 3 日
不明/ アクセス不能
login.microsoftonline.com.common.oauth2.client.us.service-ssl-check.com
期限失効 9 月 3 日
不明/ アクセス不能
login.microsoftonline.com.common.oauth2.client.al.service-ssl-check.com
期限失効 9 月 3 日
不明/ アクセス不能
login.microsoftonline.com.common.oauth2.client.hi.service-ssl-check.com
期限失効 9 月 3 日
Yahoo (ドイツ)
login.yahoo.com.manage-account.src-ym.lang-en-us.session-services.com
期限失効 8 月 3 日
AOL (ドイツ)
login.aol.com.account.challenge.oauth.session-services.com
期限失効 8 月 3 日

投稿者

Jeremy Richards,
常勤セキュリティ リサーチャー


個人情報保護方針 | クッキーポリシー | Lookout.com へ戻る

© 2020 Lookout, Inc. LOOKOUT®, the Lookout Shield Design®, LOOKOUT with Shield Design®, SCREAM®, SIGNAL FLARE® は、Lookout, Inc. の米国およびその他の国における登録商標です。 EVERYTHING IS OK®, LOOKOUT MOBILE SECURITY®, POWERED BY LOOKOUT®, PROTECTED BY LOOKOUT®, は、Lookout Inc. の米国における登録商標です。POST PERIMETER SECURITY ALLIANCE™, DAY OF SHECURITY™ は Lookout, Inc. の商標です。

Android は Google Inc. の登録商標です。

Apple、Apple ロゴ、および iPhone は Apple Inc. の登録商標で、アメリカ合衆国およびその他の国で登録されています。App Store は Apple Inc. の役務商標です。