フィッシング帝国、GoogleとCloudflare上で発覚せずに運用

出典：Ronstik via Alamy Stock Photo

研究者たちが「数年にわたる産業規模のフィッシングおよびブランドなりすましスキーム」と呼ぶものが、Google CloudおよびCloudflareのプラットフォーム上で3年以上にわたり発覚せずに運用されていました。

Deep Specter Researchのチームは、48,000のホストと80以上のクラスターを含み、「高信頼」の期限切れドメインを悪用した大規模なフィッシング・アズ・ア・サービス (PhaaS)オペレーションを明らかにしました。これは今週公開されたブログ記事によるものです。このキャンペーンでは、これらのドメインを利用して有名かつ著名なブランドになりすまし、悪意ある目的で使用していました。これは新しい手口ではなく、今年初めにもHazy Hawkグループが一流組織の放棄されたドメインを乗っ取る（米疾病対策センターなどを含む）ことで広告詐欺を行っていたのが確認されていますが、今回のオペレーションの規模は注目に値します。

「私たちは、放棄されたまたは期限切れのドメインを乗っ取り、世界的な大手ブランド（Lockheed Martinやその他多くの米国および非米国企業を含む）のクローンウェブサイトと組み合わせる、大規模なクラウドホスト型インフラを発見しました」と記事は述べています。

このキャンペーンでは、複数のFortune 500企業のなりすましが行われ、「ブランド信頼性の高いリソース」からマルウェアやギャンブルコンテンツが配信されていました、とDeep Specterは述べています。研究チームは、クローンサイトが公開企業に規制上および法的責任をもたらす可能性があるだけでなく、フィッシング被害者自身も認証情報の窃取や機密データの漏洩、その他の悪意ある活動にさらされると指摘しています。

「多くのクローンサイトは、元のブランドのクラウドインフラからリソースを読み込んでおり、つまり元のブランドが悪意あるなりすまし者に対してコンテンツを提供している可能性があります」とDeep Specterはブログ記事で述べています。

このオペレーションで使われた隠蔽サイトは、Google、Meta、Androidアプリからトラフィックを受けていました。全体として、Deep Specterはこの悪意ある活動の265件の公的検出を確認しました。

フィッシング事業の発見

Deep Specterは、このオペレーションを3年以上前に発見しました。当時、ある研究者が戦闘機に興味を持って調査していた際、検索で一貫して表示されるリソースの一つが10万人の購読者を持つFacebookページ「Military Fighter Jets」と、その関連ウェブサイトmilitaryfighterjet.comでした。

このサイトは2024年9月14日まで特に怪しい動きはありませんでしたが、その日にDNSレコードが期限切れとなりました。2日後、誰かがこのドメインを購入したようで、ブラウザから直接アクセスすると「168 Lottery Results」というギャンブルページが表示されるようになりました。

奇妙だったのは、Googleでmilitaryfighterjet.comを検索するとLockheed Martin製品の結果が表示され、ドメイン名の末尾に「/index-2.html」を付けてアクセスするとLockheed Martinのウェブサイトのクローンが表示されたことです。

「つまり、militaryfighterjet[.]comを取得した誰かが、Lockheed Martinのウェブサイトのクローン（従業員やパートナー向けのログインページを含む）とギャンブルサイトを同時に表示していることになります」と記事は述べています。

これは「クローク」と呼ばれる手法で、ハッカーが使う検索エンジン最適化（SEO）テクニックです。GoogleBotなどの検索エンジンクローラーに表示される内容と、実際の人間ユーザーに表示される内容が異なります。「主な目的は、検索エンジンのランキングを操作したり、不正コンテンツを検出から隠すことです」とDeep Specterは述べています。

大規模なPHaaSオペレーション

さらに調査を進めると、そのIPには過去に414以上のドメインが紐付いていたことが判明しました。さらに掘り下げた結果、Deep Specterはこのオペレーションの規模（その中核は第7世代以降も進化し続けている）がはるかに深いことを発見しました。

研究者たちは、香港と台湾のGoogle Cloud上にホストされた86の物理IPアドレスと、Google Cloudから44,000の仮想IPアドレス、他のホスティングプロバイダーから4,000の仮想IPアドレスを含むインフラ全体を発見し、現在はCloudflare上にも新たなクローンサイトが現れています。

チームはまた、仮想ホストが86のクラスターに組織されていることも発見しました。各物理ホストがそのクラスターの管理ホストとして機能しています。「8つの物理ホストが上位管理層で、クラスター管理者を管理し、[そのうち] 78の物理ホストが『通常』のクラスターです」と記事は述べています。全体で、これらのホストは200の既知組織のクローンコンテンツを使用していました。

影響と対策

このような長期間発覚しなかったキャンペーンが発見されたことには様々な意味があります、と研究者は指摘しています。最も基本的なレベルでは、ウェブを閲覧している人が何かを検索した際、正当な検索結果を期待していたのに全く別のものが表示されるため混乱を招きます。

企業にとっては、自社ブランドが悪意ある活動と関連付けられることで評判や信頼が損なわれるだけでなく、修正すべきセキュリティ問題が存在することも示しています。また、フィッシングが自社の従業員に直接影響し、認証情報が組織のネットワーク侵害に使われた場合、ビジネス上や財務上の損失が発生する可能性もあります。したがって、企業は自社の期限切れや休眠ドメインを積極的に追跡する必要があります。

クラウドホスティングプロバイダーにとっても、このような活動が自社のインフラ上で知らないうちに行われていることを懸念する場合、同社は「脅威インテリジェンスを適切に監視し、より深い分析を適用し、熟練した攻撃者が回避する方法を知っている自動検出だけに頼らないことで、このような悪用は防ぐことができます」と助言しています。