セキュリティの
学び場

今回の解説ニュース

JPCERT/CCに寄せられたインシデント報告について公開されています。前四半期から21%増加しており、特にフィッシングサイトが増加しているということです。公開されたインシデントの内訳と、よく発生しているインシデントについて説明します。

報告されたインシデントの内訳について、フィッシングサイトが71.8％、スキャンが14.7％となりました。ここで言うスキャンのポートスキャンとは、ネットワークに接続されたコンピュータに対して、外部から接続できるポートがないか探すことです。サービスの種類ごとにポートが割り当てられており、Webサービスであれば443番など、一部のサービスが使うポートはあらかじめ予約されています。

フィッシングサイトの報告件数は6,311件で、前四半期から30％増となっています。内訳では、国内のブランドを装ったフィッシングサイトの件数は3,533件で、前四半期から29％増加、国外のブランドを装ったフィッシングサイトの件数は1,570件となり、前四半期から38％増加したということです。

また、報告があったWeb サイトの改ざん件数は579件で、前四半期から131%増加しています。改ざんされたWebサイトから偽ECサイトやラッキービジター詐欺ページへ転送される事例が複数件寄せられています。なお、暗号資産交換業者を狙った標的型攻撃についても4件報告されているということです。

フィッシングサイトで攻撃者がターゲットを絞る理由

フィッシングサイトで攻撃者がターゲットを絞る理由は、攻撃の成功率をより高めるためです。その手口について説明します。

攻撃者に改ざんされたWeb サイトがどのような状態になっていたかというと、難読化された不正なJavaScriptのコードが挿入され、アクセスしてきたブラウザのReferrerの値をチェックし、検索エンジン経由のアクセスと判断された場合のみ、偽ECサイトへ転送する仕組みとなってたということです。

ちょっと難しい言い回しになっているので簡単に説明すると、攻撃者はパッと見はわからないようにホームページを改ざんして、訪問者がどこのページから移動してきたかを確認して、Googleやヤフーなどの検索結果をクリックしてきた訪問者だけ、偽ECサイトへ誘導しているということです。言い方を変えれば、トップページからだどってきた訪問者や、そのサイトを運用している管理者には、一見、改ざんされたことがわからない状態であることに加えて、偽ECサイトに転送されることもありません。

これはひとえに、そのサイトの訪問者にホームページが改ざんされたことを気づかれて、通報や対策をされてしまうことから逃れるためであると考えられます。つまり、より長くホームページが改ざんされている状態を維持することで、攻撃の成功率を高めることができることになります。

人の心理を突く「ラッキービジター詐欺」とは

以前の記事でも取り上げていましたが、ラッキービジター詐欺について、改めて説明します。

訪問者を選別して、より攻撃成功率を高める仕掛け

ラッキービジター詐欺で攻撃者はCMSの脆弱性を悪用して、サーバに不正なPHPスクリプトを設置します。不正なPHPスクリプトには、アクセスした被害者を詐欺サイトなどへ転送する機能がありますが、ここでも、攻撃の成功率をより高めるために、訪問者が攻撃の対象であるかどうかをチェックしてから表示するページを変更します。具体的には、同じIPアドレスからのアクセスであった場合は不正なページへの転送は発生せず、無害なページが表示されるようになっています。

被害を防ぐために管理者側が行うべきことは？

管理者がこれらの被害を防ぐためには、CMSの脆弱性を洗い出して修正することが必要です。特にCMSのプラグインは脆弱性が多く発見されていますので、最新版にアップデートすることや、しばらく更新されていないプラグインは使用しないなどの対策が必要です。また、すでに攻撃を受けていないか確認する方法として、サーバに身に覚えのないファイルが存在していないか定期的に確認することも有効です。

訪問者としても、目的と異なるページが表示されるなどして何か違和感があれば、いったんブラウザを閉じて、日を改めてアクセスしてみてもいいかもしれません。