マイクロソフト、フィッシングをサービスとして大規模に展開している業者の手口を公開

投稿: 2021年09月22日
タグ: 
  Web  クラウド  ニュースネタ

Microsoft 365 の Defender Threat Intelligence Team(脅威対策インテリジェンスチーム) は、フィッシング攻撃をテンプレート化して販売している業者の手口を調査して情報公開しました。

記事によるとフィッシングをサービスとして提供する業者は「実際に存在するブランドやサービスを模倣した 100以上のフィッシングテンプレート」を用意し、 フィッシングサービスを実行するサーバーのホスティングも行うなど、フィッシング攻撃を外部委託できる『Phishing-as-a-service』のように提供しているようです。

マイクロソフトはフィッシング攻撃を調査する中で BulletProofLink というグループを発見し、継続的に監視する中で、そのグループが1度に 30万のサブドメインを使った活動に遭遇しました。
大量のサブドメインを使った攻撃は、Webサイトのコンテンツ自体ではなく DNS への攻撃さえ成功すれば大量に一意の URL(サブドメイン) を作れ、 それらの URL をそれぞれ一般のユーザー(フィッシング攻撃の対象者) に異なるアドレスを付与できる点からフィッシング攻撃をする側からするとメリットがあるようです。
大量のサブドメインを獲得することで、メールアドレス用の一意のドメインも大量に作れ、加えてドメインを基にフィッシングを検出している場合、回避できる狙いがあるようです。

企業ロゴを単色に、HTML内に 0px 文字を埋め込み

BulletProofLink グループのフィッシングでは、マイクロソフトのロゴとブランドを偽装していたそうですが、ロゴが赤・青・黄・緑の4色構成ではなく、単色表示になっていたそうです。 マイクロソフトの見立てでは、ロゴが4つの異なる色になっていることによって検出されるのを回避しようとしたのではないかと見られています。
(* 逆に言うと、色からロゴ利用を検出することも可能そうです)

また、ゼロポイントフォントと呼ばれるフォントサイズ 0px の HTML上見えない不必要な文字列を大量に埋め込むことで Eメール本文でのフィッシングURL の検出を回避するという手法も取られているようです。

画像_2021-09-22.jpg

ゼロポイントフォントについては以下の記事でも紹介されていました。

埋め込まれたフィッシングURL は Base64 でエンコードされ、その中にユーザー(被害者) の Eメールアドレスを含む形になっており、 まずは大量に作られたサブドメインの1つ(被害ユーザーごとに用意されたベースドメイン) にアクセスした後に、フィッシングサイトにリダイレクトされる仕組みになっていたそうです。
フィッシングサイトは Outlook を模した作りになっており、ユーザーごとの URL に応じて個別に作成される構成になっていたとのことです。

その他、当該記事にはフィッシングサイト内の難読化やランサムウェアの利用についても紹介されています。 また、マイクロソフトの Microsoft Defender for Office 364 でのフィッシング攻撃対応についても記載されています。