Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan

Back to blog

日本のカードブランドを狙ったフィッシング攻撃

Menlo Security | 7月 26, 2022

Share this article

はじめに

Menlo Labsの研究チームは最近、日本のMICARDおよびAmerican Expressのユーザーに対してフィッシング攻撃を行う悪質なインフラストラクチャについて分析を行いました。このインフラの背後にいる攻撃者は、新しいドメインやWebサイトを積極的に立ち上げており、それらは同じ攻撃の戦術、技術、手順 (TTP:Tactics, Techniques, and Procedures) を採用しています。私たちは、中程度の確信を持ってこの攻撃者が中国由来であると考えています。その詳細については後述します(図6)。

感染経路

私たちの調査とOSINT(オープンソースインテリジェンス)分析によると、これらの攻撃の最初のステップは、狙った標的をフィッシングページに誘導するリンクが付いたメールであることがわかりました。また、MICARDの運営会社からは、自社ブランドを装ったフィッシングメールに注意するようにという勧告やガイダンスが出されていることも確認しています。

フィッシングページと狙われたブランド

この脅威で狙われたブランドは、「MICARD」と「American Express」です。MICARDのフィッシングページは、ジオフェンシングの手法を用いて、日本国内のIPのみからWebサイトにアクセスできるようになっていました。これらのフィッシングページとターゲットとなったブランドとの関連について、以下に詳しく解説します。

MICARDのフィッシングページ

今回分析したMICARDのページを狙ったフィッシングURLは、micarrid[.]co[.]jp.sdsfsee[.]top です。日本のIPアドレスからこのWebサイトにアクセスすると、認証情報を要求するログインページが表示されます(図1)。

図1:MICARDのフィッシングページ

認証情報を入力すると、被害者は同じドメインでホストされている別のページにリダイレクトされます: https://miicarrid[.]co[.]jp.sdsfsee[.]top/login.php このページでは、MICARDのカード番号と口座の詳細を入力するよう求められます(図2)。

図2:MICARDのカード番号およびアカウント情報

認証情報を入力すると、MICARDの正規のWebサイト(micard.co.jp)にリダイレクトされ、再び認証情報を入力するよう求められます。

被害者が入力したすべての認証情報は、リダイレクトされる際に、同じフィッシングページのURLパス「api.php?p=1」に記録されます(図3)。

図3:「api.php?p=1」に記録された被害者のMICARDの詳細
なお、ここで使用されている認証情報は有効なものではなく、フィッシングページの挙動を示すためにのみ使用されているものです

American Expressのフィッシングページ

American ExpressのフィッシングURLは、www1[.]amerxcanexpress[.]tp.bhisjcn[.]jp です。日本のIPアドレスからこのWebサイトにアクセスすると、ユーザーには認証情報を要求するログインページが表示されます。この攻撃の次の段階では、MICARDのフィッシングページで使用されたのと同じメカニズムで認証情報が送信されます(図4)。

図4:American Expressのフィッシングページ

コードを分析する中で、このページが「/admin/im/css/modules/laydate/default/laydate.css?v=5.3.1」のパスからスタイルページ(laydate.css)をロードしようとしていることがわかりました。このファイルの読み込みに失敗するため、「/admin」のパスに何があるのかを確認することにしました(図5)。

図5: American Expressのフィッシング管理画面

「/admin」のパスを読み込むと、コントロールパネルのようなものが表示されました! しかし残念ながら、分析中にこれにアクセスすることはできませんでした(図6)。これは攻撃者用のパネルで、私たちは中国の攻撃者と考えています。この攻撃者はログインして、送信された認証情報およびおそらく他の情報を見ることができるはずです。

図6:American Expressのフィッシング管理パネル

攻撃者インフラとOSINT

私たちの分析により、狙われているブランドのいくつかのフィッシングドメインが以下の4つのIPアドレスでホストされていることがわかりました:

  • 209.141.51.134
  • 209.141.44.114
  • 45.81.5.197
  • 45.86.70.157

同じ攻撃者が同じTTPを使用してフィッシングページを作成しているか、同じフィッシングキットを使用している可能性があります。2022年6月以降、このIPアドレスに解決されるドメインでは、club、jp、topの3つのTLDが使用されています。攻撃者側のインフラで最も使用されているTLDは「top」でした(図7)。

図7: 攻撃者インフラで使用されたTLD

今回の調査における興味深い発見、共通点、観察事項がいくつかあります:

  • 攻撃者側のインフラは、4つのIPアドレスでホストされていました。
  • フィッシングブランドに使用されたほぼすべてのドメインは、Namesilo LLCというレジストラに割り当てられていました。
  • ほぼすべてのドメインは、非営利団体Internet Security Research Group (ISRG) による無料、自動、オープンな認証局を提供するLetsEncryptによるSSLサーバー証明書を使用していました。
  • ドメイン名は異なっていましたが、URLパス名は同じものでした。

また、ドメインの1つである www2[.]shinseiclub[.]com.famerucarf1[.]jp の内容が分析中に2回ほど変更されたことも興味深い点です(図8)。

図8:内容を変えるフィッシングページ

これは、最初は新生銀行傘下のアプラスが発行するクレジットカードのオンラインサービスのログインページでしたが、最終的にはAmerican Expressのサイトとして表示されました(図9)。

図9:APLUSのフィッシングページ

結論

収集された情報とTTPに基づき、私たちは攻撃者が中国由来であることに中程度の確信を持っています。この攻撃者は、MICARDやAmerican Expressに加え、さらに標的となるブランドを追加する可能性があります。
Menlo Labsは、より多くのフィッシングサイトが特定されブロックされる中、この攻撃者は新しいインフラを作り続け、他のブランドへのなりすましを続ける可能性が高いと考えています。Menlo Labsは、ユーザーがメールのリンクや添付ファイル経由で届いたWebサイトで認証情報を入力する際には、慎重を期すことを推奨しています。防御策として、2要素認証や多要素認証を使用することで、認証情報が漏洩した場合にセキュリティの層を厚くすることができます。

IOCS

IPs:

209.141.51.134
209.141.44.114
45.81.5.197
45.86.70.157

Domains:

miicarrid[.]co[.]jp[.]sdsfsee[.]top
miicarrid[.]co[.]jp[.]frruuy[.]top
mhuirrid[.]co[.]jp[.]tuuiyy[.]top
mdinsd[.]co[.]jp[.]gnjkg[.]top
mhuirrid[.]co[.]jp[.]ghbdc[.]top
miicarrid[.]co[.]jp[.]dhssu[.]top
miicarrid[.]co[.]jp[.]dfgtto[.]top
sanyuicare[.]co[.]jp[.]dozerov[.]top
mmiicard[.]co[.]jp[.]drampor[.]top
miicard22[.]co[.]jp[.]docmer[.]club
miioard[.]co[.]jp[.]dakejer[.]club
www2[.]miicard[.]co[.]jp[.]boweron[.]club
www2[.]miicard[.]co[.]jp[.]bredkmk[.]club
www2[.]americanexpres[.]com[.]cenmksl[.]club
www[.]ameriicanexprress[.]com[.]acemoer[.]club
www[.]micard[.]co[.]jp[.]cmerove[.]club
www[.]xgyufanexpres[.]tp[.]hjbwwj[.]jp
www[.]asetrxcanezxres[.]tp[.]cfdymtj[.]jp
www[.]xcerxcanexpres[.]tp[.]ncjsnf[.]jp
www[.]amerxcanezxres[.]tp[.]txjjzyzq[.]jp
www1[.]aenjrcanexpres[.]tp[.]bhuidanj[.]jp
www[.]amejrcanexpres[.]tp[.]emexecag[.]jp
www2[.]amerxcanexpres[.]tp[.]buycjso[.]jp
www[.]amerxcanexpres[.]tp[.]amesecad[.]jp
www1[.]amerxcanexpress[.]tp[.]bhisjcn[.]jp
www2[.]sinsebonk[.]com[.]bdsag[.]jp
www[.]sinsebonk[.]com[.]amercanmisecad[.]jp
yzkjc[.]co[.]jp[.]cfdymtj[.]top
eeqxcgh[.]co[.]jp[.]rdstna[.]top
yzkjc[.]co[.]jp[.]mthzsqk[.]top
ysrybx[.]co[.]jp[.]kjglhys[.]top
njswa[.]co[.]jp[.]sjdyr[.]top
kfqs[.]co[.]jp[.]bszya[.]top
xflsbw[.]co[.]jp[.]gedaz[.]top
tjjdry[.]co[.]jp[.]gdzsd[.]top
kfqs[.]co[.]jp[.]lqjgeqt[.]top
bxkqxz[.]co[.]jp[.]ghfgb[.]top
www2[.]americanexpress[.]jp[.]bdsjka[.]jp
www2[.]shinseiclub[.]com[.]famerucarf1[.]jp
www1[.]amaricanexpes[.]jp[.]fmicard88[.]top
www5[.]wibmiicard[.]co[.]jp[.]fmicard12[.]top
www[.]supper[.]ameriicanexpres[.]top

Share this article

Menlo Securityに関するお問い合わせ

Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。
また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。