サイバー防御において、フィッシング攻撃に反応して対応するということは、すでに一歩遅れていることを意味します。受信トレイに届いたフィッシングメールは、攻撃者の活動が長い連鎖を経た末の最終結果です。本当の勝利はフィッシングを分析することだけではなく、プロアクティブな脅威ハンティングモデルを用いて、攻撃が開始される前にそれが発信されたインフラを見つけることです。
このリアクティブな姿勢からプロアクティブな姿勢へ移行することは、敵対者に先んじるための最も効果的な方法です。後片付けをするのではなく、そもそも混乱が起きないように防ぐのです(いいと思いませんか?)。
当社のCommunity Editionプラットフォームで最近実施したワークショップをもとに、防御側が「爆発の左側(left of boom)」へシフトし、フィッシングキャンペーンを先回りして解体し始めるために使える、実用的なクエリベースの4つの手法をまとめました。
以下で共有するクエリはすべて、無料のCommunity Editionで利用できます。登録して一緒に進めたい方のために、下に短縮リンクを掲載しています。
目次
簡単な注意事項と免責
ここで共有するハンティングクエリは、特定の時点のデータを反映しており、作成以降に脅威活動が変化している可能性があります。これらは完璧な検知としてではなく、脅威ハンティングを目的としているため、軽微な誤検知が発生する可能性があります。
各クエリは、関連する脅威グループに合致することを当社の脅威アナリストチームが検証しており、より広いカバレッジのために内部のバリエーションも使用しています。お使いの環境や最新のインテリジェンスに合わせて、これらのクエリを適応または調整できます。
1. 単一のフィッシングからキャンペーン全体へ(「Ledger」手法)
あらゆるリアクティブな調査は、プロアクティブなハントを構築する機会です。実際のフィッシングメール(「Ledger」フィッシング)を取り上げ、どのように「上流」へピボットできるかを示します。
リアクティブな手がかり:調査はメールヘッダーから始まります。149.72.223.116 や 159.183.183.61 といったIPが見つかり、侵害されたSendGridアカウントを示唆します。PTR(逆引きDNS)レコードを使うと送信者の特定に役立ちますが、これはすべて事後分析です。悪性リンク自体は ledger-recovery-app[.]com でした。
プロアクティブなピボット:そこで止まらず、そのドメインを最初に引っ張る「糸」として使います。
- コンテンツ・ピボット:同じ特徴を共有する他のサイトをハントできます。単純なクエリで、HTML Title が 「Are you human?」で、かつURLに「ledger」を含むすべてのドメインを見つけられます。これにより即座に網が広がります。
- ドメイン/WHOIS・ピボット:攻撃に使われる前に類似ドメインをハントできます。攻撃者は予測可能なパターンを使います。次の条件を満たすすべてのドメインを見つけるプロアクティブなクエリを作成できます。
- ドメインが次のいずれか: ledger-*-*.com OR *-ledger-*.com
- AND
- レジストラが: Amazon Registrar, Inc.
このクエリは、ドメインが登録された瞬間に検出し、メールキャンペーンで使われるはるか前に見つけ出します。
2. インフラのフィンガープリントでハンティング(「Harbor Freight」手法)
脅威アクターは怠惰です。異なるキャンペーンをホストしていても、同じサーバー設定を使い回します。コンテンツ(変わりやすい)を追うのではなく、サーバー固有の技術的な「フィンガープリント」を追ってハントできます。
例:フィッシングドメイン harborfrieght[.]shop が特定されました。
手法:サーバー固有の技術的シグネチャを抽出できます。アクターがまったく別の誘導(野外で見つかった「ジーンズ広告」など)をホストしていても、基盤となるサーバー構成は同一であることがよくあります。
ピボットの鍵となる指標は次のとおりです。
- HHV(HTTPハッシュ): f2bbb45599ecd7349b164c98a8
- JARM(TLSフィンガープリント): 27d40d40d00040d00042d43d00041df04c41293ba84f6efe3a613b22f983e6
目標:これらと完全に一致するHHVおよびJARMフィンガープリントを持つインフラ上でホストされているすべてのドメインを見つけるクエリを実行します。この手法は、異なるドメイン名やコンテンツのノイズを切り抜け、ばらばらのキャンペーンを単一のアクターに結び付けます。
3. 多層クエリでブランドなりすましを暴く(「Gmail」手法)
Gmailのような主要ブランドの精巧なクローンをプロアクティブに見つけるのは困難です。インターネット上には「gmail」という単語を使う正当で無害なサイトがあふれています。鍵となるのは、データポイントを組み合わせてノイズを除去する多層クエリを使うことです。
手法:複数の条件を積み重ね、偽物だけを見つけるクエリを構築できます。
検索ロジック:
- Faviconでピボット:まず、公式Gmailのfaviconハッシュを使用しているすべてのサイトを見つけます。
- コンテンツでフィルタ:HTML Titleに「gmail」を含む必要があるという条件を追加します。
- 正当サイトを除外:これが最も重要なステップです。SSL発行者組織が「Google Trust Services」であるサイトは除外します(これはGoogle所有の正規プロパティであるため)。
結果:この精密な多層検索により、正規のGoogleインフラを完全に無視しつつ、説得力のあるクローン gmaii.email のような高精度のフィッシングサイトを特定できます。
4. サプライヤー/パートナーのスプーフィングを先回りする(「Eversource & Microsoft」手法)
組織のアタックサーフェスには、サプライヤーやサードパーティパートナーも含まれます。彼らになりすますために使われ得るインフラをプロアクティブに監視することは、重要な高度防御です。
目標:パートナーになりすましてBusiness Email Compromise(BEC)やフィッシング攻撃に使われ得る、新規登録ドメインを特定します。
例1:Eversource(電力事業者)
- 手法:DNSデータを検索し、MX(メール)レコードがサプライヤーを指すように設定されているドメインを探します(例:MXレコードに *eversource.com を含むものを検索)。
- 発見:これは活動中の悪性ドメイン以上のものを明らかにします。攻撃者の一般的なTTPであるパークドメインが見えてきます。たとえば wwweversource.com は、MXレコードが park-mx.above.com を指している状態で見つかりました。攻撃者は評判フィルタを回避するため、ドメインを「パーク」して熟成させます。
例2:高度なハンティング(Microsoft) これらの手法を組み合わせ、スプーフィング用に積極的にセットアップされた新規登録のパークドメインを見つける高度なクエリを作成できます。
検索ロジック:
- ドメイン正規表現:「microsoft」に見えるドメインを見つけるために正規表現を使用します(例:(?i)(?:^|[^A-Za-z0-9-])microsoft…)。
- AND
- MXレコード:MXレコードが park-mx.above.com のドメインのみに絞ります。
- AND
- WHOIS日付:特定の日付以降に登録されたドメインを見つけます(例:whois_after: 2025-08-01)。
このクエリは、組織を攻撃したり最大のパートナーになりすましたりする目的で作り込まれたドメインについて、高信頼度のアラートフィードを提供します。
進化するサイバー脅威に先んじる
当社の脅威アナリストおよびプロダクトチームは、最新の脅威をプロアクティブに検知するためのフィンガープリントと機能の開発に注力しており、多くの他ツールよりも最大で数か月先行してお客様の安全確保を支援しています。
プロアクティブな脅威ハンティングについて詳しく知るためにプラットフォームツアーをご希望の場合は、ぜひ本日、当社チームとのデモをご予約ください。
翻訳元: https://www.silentpush.com/blog/threat-hunting-phishing/
