- 世界12,000台超のサーバーが組織的なフィッシングインフラを支えていた
- Google Cloudのリンクがフィッシングメールを実態より安全に見せかけていた
- 偽ニューヨーク・タイムズページがスキャナー向けの囮として機能していた
金銭的な報酬や緊急の支払いを促すような不審なメールが届いたとき、その背後にあるインフラは、見かけとはまったく異なるものであることがほとんどです。
Comparitechの調査によって、55カ国・12,704台のサーバーにまたがる組織的なスパム・フィッシングネットワークの実態が明らかになりました。
これらのフィッシングメールは、偽の金銭報酬などの詐欺と結びついており、多くのユーザーが依存するアンチウイルスやランサムウェア対策システムといったセキュリティツールをかいくぐるための手口が巧妙に用いられています。
信頼されたGoogleリンクが検出回避を助ける
この攻撃キャンペーンは、金銭報酬・健康商品・ギャンブル、あるいは緊急の支払いを促すリンクを埋め込んだ迷惑メールの送信から始まります。
受信者を攻撃者が制御するサイトへ直接誘導するのではなく、まずGoogleのインフラ上にホストされたGoogle Cloud Storageのページを経由させる仕組みになっています。
このアプローチが有効なのは、おなじみのGoogleドメインがユーザーや自動フィルタリングシステムからの精査を受けにくい傾向があるためです。未知のウェブサイトとは異なり、Googleが所有するURLはメールゲートウェイ・ファイアウォール・レピュテーションフィルターを難なく通過してしまいます。これらのシステムは、Googleドメインに対して深い検査なしに信頼を付与する慣行があるからです。
研究者らによると、攻撃者はシンプルなHTMLおよびJavaScriptファイルをクラウドストレージにアップロードし、Googleのサーバー上に明らかに悪意のあるコンテンツを置くことなく、訪問者を別の場所にリダイレクトする仕組みを構築していたことが分かっています。
最初のリンクと最終的な誘導先を切り離すことで、キャンペーン運営者は柔軟な運用が可能になります。
すでに送信されたメールを修正することなく、リダイレクト先をいつでも変更できるため、攻撃の持続性が高まります。
テストを行った研究者たちは、ニューヨーク・タイムズから複製したニュースコンテンツを表示する、ほぼ同一のランディングページに繰り返し遭遇しました。
これらのページは、特定の選別基準を満たさないセキュリティ製品・研究者・一般訪問者に対して、無害な囮として機能するよう設計されていると研究者たちは見ています。
これらのページを支えるインフラは、ソフトウェア構成・アセットディレクトリ・リダイレクト動作が共通しており、サーバー環境の多くも旧式のものでした。
無視できない規模
研究者たちは、単一のCSSファイルパス — assets/ayt/css/main.css — が数千台のサーバーにわたって同一パターンで繰り返されていることを手がかりに、このネットワークを特定しました。
このパターンは、独立した複数の運営者ではなく、一元的な展開体制の存在を示しています。特定された12,704台のサーバーのうち99.8%は、セキュリティアップデートが提供されていないサポート終了済みのソフトウェアで稼働しており、数十の法域にまたがる412のホスティングプロバイダーに分散していました。
この地理的な分散は、ほぼ確実に意図的なものです。特定のプロバイダーを対象とした摘発が行われても、ネットワークの残りの部分はそのまま機能し続けます。
そのうち5,000台のサーバーをクラウドソース型のIPレピュテーションデータベースで照合したところ、89%は過去の不正利用履歴がないことが判明しました。
これは、インフラが直近に新たに調達されたか、あるいはアンチウイルスや脅威インテリジェンスシステムに捕捉されないよう十分な頻度でローテーションされていることを示唆しています。
これらのメールを経由して到達したページで個人情報を入力したユーザーは、その情報が漏洩したものとして扱う必要があります。
特に複数のサービスでパスワードを使い回している場合は、直ちにパスワードを変更してください。
さらに、すべての金融口座について、たとえ最初は些細に見えても、異常な動きがないか継続的に監視することが重要です。
なお、情報を入力しなくてもリンクをクリックするだけで影響が生じます。そのクリック行為によって、メールアドレスが有効かつ実際に使われていることが攻撃者に伝わってしまいます。
つまり、そのメールアドレスには今後より大量のスパムが届くようになる可能性が高く、さらなるフィッシング攻撃や詐欺被害へのリスクが高まります。
