2021年10月3日 20:56 頃 amazon prime を語るフィッシングメールが届きました。
サイバーセキュリティを生業にしている筆者に対して送るとは何事!!少し調べてみました。
amazon さんの対応も非常に早いです。
違法な業者がAmazonの名前をかたってメッセージを送信するケースが報告されております。
— Amazon Help (@AmazonHelp) 2021年10月3日
AmazonからのEメールかどうかの識別については、以下のヘルプページをご確認ください。https://t.co/upExT3byXE 百井
日曜日にも関わらずお仕事、お疲れ様ですmm
amazon help 様に案内されたURLは下記です。こちらでも貼っておきます。
そもそもフィッシングサイトとは?
フィッシングサイトとは、個人情報やログイン情報、会社の機密情報を奪うために仕組まれた罠サイトです。
今回のようにドメインを本物のように見せかけて、さも誰もがクリックしたいような文言を追加して送り込んできます。
このような攻撃の被害を受けることで、個人情報、ログイン情報、機密情報の漏洩につながります。
下記は総務省のフィッシングサイトに対するWebページです。
もしフィッシングサイトに引っかかってしまったら?
兎にも角にも、奪われしまったものは取り返しようがありません。
ログイン情報の場合は、すぐに対象システムのパスワードの変更を強く推奨します。
またもしパスワードを使い回している方がいたら、同じパスワードを用いているシステムのパスワードも同様に別のものに変更することを強く推奨します。
警視庁もフィッシング110番ということで、サイトを立ち上げてくれています。
www.keishicho.metro.tokyo.lg.jp
念の為筆者からも警視庁への情報提供をしておきました。
対象URLのサイト
※対象のURLは絶対に開かないでください。
警告になりますが、対象のURLは絶対に開かないでください。 サイトによっては、サイトにアクセスするだけで悪いプログラムをダウンロードしてくるようなものもあります。 筆者は情報処理安全確保支援士なのでご勘弁を。
安全を考慮してアクセスしてみたところ下記サイトが表示されました。 ※URLは安全のためマスクしています。
あー、これは紛れもないフィッシングサイトですね。 amzonを語っていますが、所々がフィッシングサイトであるという証拠しか並んでおりません。
怪しいと思うポイントをいくつかみていきましょう。
ドメインがおかしい
今回、送られてきたフィッシングサイトのアドレスは awsという文字列は入っていますが明らかな偽物でした。
amazonさんが使用しているドメインは下記に記載がありますので、参考としていただければと思います。
基本的にamazon が運営しているドメインはhttps://××.amazon.co.jp/またはamazon.co.jp/で始まるとのことです。
amazonと語っていながらも、上記ドメインでは無い場合は注意しましょう。
httpsになっていない
GAFAの一つに数えられる Amazon さんのログインページがHTTPSになっていない!そんなことはありえない!
httpsは通信の暗号化のことです(ざっくり 近年ではログインページなど重要な情報を送る場合はhttpsはほぼ必須として扱われています。
使用されている技術
Google Chrome の Wappalyzer という拡張機能を用いて確認しています。
本物のログインページ
本家本物はJavaScriptをフロントエンドで用いており、バックエンドは基本的に aws を用いておりますね。流石の一言。
偽物のログインページ
本家本物に対して、偽物のログインページは下記の技術を使用。
amazon系の技術は使用していないようですね。 WebサーバーとしてApache、言語としてPHPを用いています。
ちなみに。
フィッシングサイトのログインページに設定されている各種リンクは本物のサイトのものが使われていました。
whois
試しに'whois'でドメイン情報を探索してみました。 住所を調べてみたら都内某所のコワーキングスペースが出てきました。
※所々★でマスキングしています。
whois www.aws-y.★★★ % IANA WHOIS server % for more information on IANA, visit http://www.iana.org % This query returned 1 object refer: whois.nic.shop domain: SHOP organisation: GMO Registry, Inc. address: 26-1 ★★★★★★ Shibuya-ku, Tokyo address: Japan contact: administrative name: Representative Director and CEO organisation: GMO Registry, Inc. address: ★★★★★ Tower, ★★-1 ★★★★★★★, ★★★★★★-★★, Tokyo address: Japan phone: +81★★★★★★★★★ fax-no: +81★★★★★★★★★ e-mail: newgtld@★★★★★.com contact: technical name: Director organisation: GMO Registry, Inc. address: ★★★★★ Tower, ★★-1 ★★★★★★★, ★★★★★★-★★, Tokyo address: Japan phone: +81★★★★★★★★★ fax-no: +81★★★★★★★★★ e-mail: ★★★★★@★★★★★.com nserver: A.GMOREGISTRY.NET 2001:dcd:1:0:0:0:0:4 37.209.192.4 nserver: B.GMOREGISTRY.NET 2001:dcd:2:0:0:0:0:4 37.209.194.4 nserver: K.GMOREGISTRY.NET 37.209.196.4 nserver: L.GMOREGISTRY.NET 2001:dcd:4:0:0:0:0:4 37.209.198.4 ds-rdata: 50701 8 2 30f44f9e79f1119aebed349d3ec34f7aedd83a58f1e706d8303c3bbfe83bc7ec whois: whois.nic.shop status: ACTIVE remarks: Registration information: http://www.gmoregistry.com/en/ created: 2016-05-05 changed: 2019-07-13 source: IANA # whois.nic.shop The queried object does not exist: NAMESERVER NOT FOUND URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of WHOIS database: 2021-10-03T11:56:52.0Z <<<
サイトをリロードすると・・・
フィッシングサイトをリロードすると404に。Apacheのデフォルトページの404ページが見れますね。
ファビコンはamzonのもののままですね。
リクエストとレスポンスを確認してみた
BurpSuiteを用いてリクエストとレスポンスを確認してみました。
HTTP/1.1 200 OK
Date: Sun, 03 Oct 2021 13:15:36 GMT
Server: Apache
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST
Access-Control-Allow-Credentials: true
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Upgrade: h2
Connection: Upgrade, close
Vary: Accept-Encoding
Content-Length: 77
Content-Type: text/html;charset=utf-8
{"countryname":"Japan","region":"★★★","ip":"★★★.★★★.★★.★★★","mode":"pc"}
あー、攻撃者にIPアドレスがバレてしまっていますね。怖い怖い。 念の為筆者は、違う場所を経由してアクセスしているので問題なしと。
このように攻撃者に接続元のIPアドレスが知られてしまうので要注意です。
最後に
フィッシングの被害に遭わないように気をつけてください。
あと初めて情報処理安全確保支援士っぽいことをした気がする。
