Symantec Security Response Weblog

Getting Acquainted With Rock Phishing」より
December 18,2007 Posted by Sai Nayaran Nambiar

 アンチフィッシング・フィルタは通常,ブロック・リストやヒューリスティック(経験則)をもとに作動する。「Rock Phish」(関連記事:「フィッシング詐欺の過半数は彼らの仕業」,暗躍する「Rock Phish」)と呼ばれるオンライン犯罪組織による攻撃はきわめて最近の現象で,これらの攻撃が上記したアンチフィッシング・フィルタを巧みにすり抜ける独特の構造となっていることから,大きな問題になっている。このフィッシング手法が使われ始めたのは2006年8月前後である。URL構造はどちらかというとシンプルなもので,ランダム化されたルート・ドメインと三つのサブ・フォルダで構成されている。これらの攻撃が最近急増している主な原因をたどると,ボットネットにいきつく。ではRock Phishの攻撃の何が特別なのか?その手法には,経験の少ないユーザーをターゲットにするという,トレードマークともいうべきやり方があるのだ。

 偽のWebサイトに導くためのRock PhishのURLは独特な構造を持つ。例えばURLは,次のようにRock Phish特有のものだ。具体的には「http://www.xxx.xxx.user123990.com/login/challange/2b593cba/login.php」といった具合。このURLで強調表示しているルート・ドメイン「user123990.com」を注意深く確認しなければ,これが合法的なWebサイトか偽物かを判別できない。ルート・ドメインは,URLの最初のスラッシュ(/)の直前にある。

 Rock Phishの詐欺集団は,手始めにボットネットを通じて何百万通ものスパム・メールを送り出す。このメールで,金融機関からのメッセージを模してユーザーがクリックしたくなる偽のURLを提示する。標的となったユーザーがこれをクリックすれば一巻の終わりだ。次のステージへと進み,ログイン・パスワードや銀行情報,クレジットカードの詳細,社会保障番号など,機密情報を提供するよう誘われる。ドラマは一瞬だ。垂涎の的であるデータが向こうの手に渡れば,お金は吸い上げられてしまう。

 Rock Phishによるフィッシング用の偽URLの構造が見極められるよう,以下に例を示す。

1. http://XXX.xxx.xxx.ebank-service.com.nubi.signin138003006.aspx.vdw3.com/Secure_Authentication.htm
2. http://XXX.de.e-koy.com.es/kundendienst/anfang.cgi/frame4.htm
3. http://XXX.de.fmkmemw.hk/kundendienst/anfang.cgi/frame4.htm
4. http://XXX.com.refid02854442.gopo45.li/service/default.aspx/refererident.htm
5. http://XXX.co.uk.legalidport.hb.cn/securesession/action.aspx
6. http://XXX.XXX.com.36343477.sapisss.eu/sc/saw-cgi/xxxISAPI.dll/index.php

 ルート・ドメインは,Rock Phishの大きな特徴であるため,具体的に詳しく見てみよう。

1.最近作成されたルート・ドメインである
2.登録がばらばらな国別ドメインで行われており,その中にはフィッシング対策グループや法的機関が監視していないところもある
3.ネーム・サーバーも注目すべき重要なポイントとなる

Domain Name(ドメイン名):FMKMEMW.HK
Domain Name Commencement Date(ドメイン名開始日):
09-11-2007
Country(国):HK
Expiry Date(有効期限):09-11-2008
Re-registration Status(登録前ステータス):Complete(完了)
Company Name(会社名):YAN IUAN HO
Name Servers Information(ネーム・サーバー情報):
NS1.POLO456.COM
T1.BAR-BAR-COM.COM
DOT2.VILOPR.CN

 注意したいのは,これらの偽ドメインが判明してアクセスがブロックされるようになるまでの間に,詐欺集団は既に被害を与えているということだ。Rock PhishのURLを注意深く見ると,ランダムな数字と少数の英文字が目につく。これらは英数字の組み合わせでURLの文字列をランダム化する手法で,同じ文字列を重複させず,煩雑化し,合法的なWebサイトとの区別を困難にする。ちなみに,このような英数字の組み合わせは合法的なWebサイトでも幅広く利用されている。Rock Phishの製作者たちは,この点を最大限に活用(悪用)しているのだ。

 Rock Phishの偽URLには,トロイの木馬,ウイルス,マルウエアなどの脅威が混ざったものがあり,コンピュータに大きな打撃を与えかねない。一例を挙げると,「hxxp://xxx.session-12034016.xxx.bank.com.modid7.li/forms/clientcare.apx/」には,トロイの木馬「Trojan-Spy.HTML.Bankfraud.sp」が含まれている。

 近い将来,爆発的に流行することは想像に難くない。Rock Phishがボットネットからマルウエアを広めれば,ソーシャル・ネットワーキング,海賊版ソフトウエア,無償ダウンロード,ユーザーの多いソフトウエア向けの偽セキュリティ・アップデートといった経路でコンピュータに忍び込むボットネットに対しても,警戒が必要になる。

 最後に,Rock PhishのURLは特定のブランドを想定しているようだ。これらの攻撃が成立するには,ある決まったパターンがある。詳細な監視の結果,Rock Phishの製作者は,間違いなくフィッシング技術を飛躍的に高めている。彼らは洗練された筋金入りのテクニシャンであり,スパムや詐欺の分野におけるエキスパートに成長しつつある。技術面でも間違いなく進化しており,「Fast-Flux」(関連記事:攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1)を利用して,ネーム・サーバーやWebサイトの居場所をたちどころに変え,ダウンしたプロキシ・サーバーを自動的に次のものに切り換える。このようにして,攻撃者はRock FishのURLの寿命を引き延ばし,手練手管をこらすことができる。したがって,すべての人々がRock Fishを十分に認識し,次の被害者とならぬよう予防することが必要不可欠だ。

 注:今回の脅威を分析してくれた,米シマンテック・セキュリティ・レスポンスのシニア・アナリストであるChristopher Mendes氏に感謝する。

Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Getting Acquainted With Rock Phishing」でお読みいただけます。