Confidential. For internal use only. フィッシング詐欺について 知っておきたいこと 2023年7⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 理事 ⻑⾕川達也 2023年7⽉15⽇（⼟） 14:00-14:50

はじめに • セキュリティリサーチ（SR）分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット＆エンジニアリング • ディスカッション（交流）で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください

アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた

アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた

Confidential. For internal use only. フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖

被害はまだ増えているのか︖ 出典: LAC https://www.lac.co.jp/lacwatch/report/20221219_003234.html

2023年上半期の現状 出典︓フィッシング対策協議会 https://www.antiphishing.jp/report/monthly/202306.html 1月から報告件数は鰻のぼり 6月は過去最大！ 6月の緊急情報 • エムアイカード • じゃらん • Apple • チューリッヒ保険会社 • 北海道電力 • 沖縄電力 • 総務省 • 北洋銀行 • 三菱UFJ銀行 • 日本航空 • 西日本シティ銀行 • ジャックス • エポスカード • ANA

フィッシングによるものとみられるインターネットバンキングに係る 不正送⾦被害 出典: 警察庁・⾦融庁 https://www.npa.go.jp/bureau/cyber/pdf/20230424_press3.pdf 5億

フィッシングで盗まれる情報 • クレジットカード番号、⾦融機関の⼝座番号、暗証番号、セキュリティコード • 住所、⽒名、電話番号、⽣年⽉⽇ • 電⼦メール、インターネットバンキング、ECサイト、SNSアカウント等のID・パスワード • 運転免許証、マイナンバーカードの画像情報 など 出典︓警察庁 https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html

Confidential. For internal use only. フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖

技術トレンドに変化はあるのか︖ フィッシングメール SMSフィッシング(Smishing) IPFSフィッシング DMARC (SPF,DKIM補強) フィッシングキット PhaaS (Phishing as a Service) 3Dセキュア ⽣体認証 (FIDO2,PassKey) 迷惑SMS拒否 υϩοϓΩϟον ʢυϝΠϯഇࢭޙʹୈࡾऀ͕औಘʣ υϝΠϯϋΠδϟοΫ αϒυϝΠϯςΠΫΦʔόʔ ʢαϒυϝΠϯͷ%/4ઃఆͷѱ༻ɾ৐ͬऔΓʣ EV SSL証明書 URLフィルタリング 対策技術 クローキング クライアントサイドクローキング 攻撃⼿法と 偽アプリのインストール 短縮URL ダイナミックDNS SIMスワップ AiTM (Adversary-in- The-Middle)

フィッシング詐欺サイクルからのトレンド 参考:フィッシング対策協議会 https://www.antiphishing.jp/report/phishing_report_2022.pdf Phishing Kit PhaaS IPFS 電話+メール SMS SIMスワップ

より短いライフサイクル化 フィッシングサイトのアクティブ時間は年々短縮化 - 現在ではほとんどが24時間以内 - ドメインレピュテーションの悪化によるブロック回避 - メールやSMSは着弾してすぐにアクセスする傾向があるため、収益化に問題なし 出典:フィッシング対策協議会 https://www.antiphishing.jp/report/phishing_report_2022.pdf

IPFSのフィッシング とは 2022年より広く脅威として認識され始めた新しいテクニック Web3のInterPlanetary File System（IPFS）を悪⽤した防弾ホスティング フィッシングメール内の誘導URLがIPFSゲートウェイ※ http[s]:///ipfs/ http[s]://. ※ 本来 ipfs://でipfs上のコンテンツにアクセスするが、 IPFSプロトコル未対応のWeb ブラウザ（ChromeやEdge、Safariなど）がまだ多いため、ゲートウェイ利⽤が主流 Ø = ipfsゲートウェイサービスの正規ドメインなど Ø 例︓「ipfs.io」「ipfs.fleek.co」や「ips-fleek-co.translate.goog」などなど 稼働しているIPFSゲートウェイの確認 https://ipfs.github.io/public-gateway-checker/

メリット ü ドメインレピュテーションの回避 ü 分散管理のためコンテンツがホス ティングプロバイダーなどに削除さ れにくい ü キャンペーンを⻑持ちさせられる ü (新規ドメインの取得が不要) デメリット ü 窃取したクレデンシャル情報を攻撃 者に送信する仕組みを別で⽤意する 必要がある(IPFSには動的な仕組みが ない、クライアントは単にデータの 読み取り専⽤コピーを取得するだけ) ü JavaScriptなどクライアントサイド のスクリプトコードやヘッドレス フォームにてAPI駆動でクライアント に⼊⼒させた情報を攻撃者に送信し なければならない 攻撃者のIPFSの悪⽤メリットとデメリット IPFS

Confidential. For internal use only. フィッシング詐欺の最新動向 被害はまだ増えているのか︖ 技術トレンドに変化はあるのか︖ 従業員や友⼈・家族を守るためには︖

従業員や友⼈・家族を守るためには︖ フィッシングサイトに情報を⼊⼒しない • ⽔際対策としては、有効な秘密情報を送信しない。巧妙なフィッシングサイトを⾒抜けるか・・ フィッシングURLにアクセスしない、そのメール/SMSも開かない • フィッシングURLにメールアドレスが含まれている場合、URLアクセスだけで攻撃者にメールアド レスのアクティブ状況を提供してしまう可能性・・ • メール/SMS開封の⾃動通知機能などにより、開くだけで攻撃者にアクティブ状況を提供してしま う可能性あり・・ パスワードの使い回しをやめましょう • 同じパスワードを使い回していると、パスワードリスト攻撃の被害にも遭いやすい

フィッシングサイトに情報を⼊⼒しないためには︖ ⾃分がアクセスしているのがフィッシングサイトだと⾒抜く ü ドメイン名を⾒て気づく ü どこかコンテンツの表⽰がおかしくて気づく（レイアウトがずれているなど） ü URL分析サービスにてスキャンして気づく ü CloudFlare Radar (new! URL Scanner 2023/03~) など (https://radar.cloudflare.com/scan) ü urlscan.io (https://urlscan.io) ü VirusTotal (https://www.virustotal.com/gui/home/url) ü TrendMicro (https://global.sitesafety.trendmicro.com/?cc=jp) ü Google SafeBrowsing (https://transparencyreport.google.com/safe-browsing/search?hl=ja) あるIPFSを使ったMicrosoftアカウントのフィッシングサイトに対しての結果の⼀例 (タイムラグ数時間: 2023/7/11にInTheWildとなったURLを同⽇スキャン) CloudFlare urlscan.io VirusTotal Trendmicro Google Safe (画⾯は取得できていた) Potentially Malicious 0/90 Phishing Malicious

フィッシングURLにアクセスしない、メール/SMSも開かないためには︖ フィッシングURLにアクセスしない ü セキュリティ製品の⾃動検疫サービスでフィッシングURLを受信しない ü 各種EDRのメール本⽂内URLの監査 や 各種WebGWの「Isolation Browsing」機能など ü フィッシング対策機能が強化されているメールサービスを利⽤し、気づく ü 正規メールにブランドアイコンが表⽰されるなど メールやSMS⾃体も届かせない ü DMARC 送信元ドメインを認証するプロトコル ※正規ドメインの所有者コントロール ü 「なりすまし」送信メールの検出と制御 ü 迷惑SMS 拒否機能 (2022~) ※SMS受信者にてコントロール ü ドコモ、au、ソフトバンクなど⼤⼿キャリアで提供されはじめている（現状、追加料⾦なし） SNSのチャットやオークションサイト、動画配信サイトのコメントなどの経路からの フィッシングサイトへの誘導には不⼗分

パスワードの使い回しをやめましょう ü 記憶に頼らずローカルの「パスワードマネージャー」で管理する癖をつけて、サービ スごとに異なるパスワードに︕ ü 「3Dセキュア」など詐取が難しい認証要素を取り⼊れた多要素認証(MFA)も︕ さらには、認証済みのセッション情報を盗む「AiTM」攻撃への耐性も⾼めるためには、 ü FIDO2ベースの⽣体認証や証明書による認証などのパスワードレス認証を利⽤︕ 画像引用: Digital Keeper h.ps://keepmealive.jp/stop-password/

後学のための参考資料 ü フィッシング対策協議会「フィッシングレポート2023」 https://www.antiphishing.jp/report/phishing_report_2023.pdf ü フィッシング対策協議会「フィッシングレポート2022」 https://www.antiphishing.jp/report/phishing_report_2022.pdf ü クライアントサイドクローキング⼿法とPhishingJS（検出⽤の深層学習モデル） https://unit42.paloaltonetworks.jp/javascript-based-phishing/ ü AiTM攻撃 ü https://www.lac.co.jp/lacwatch/report/20220909_003103.html ü IPFSフィッシングの動向 ü https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ipfs-a-new-data-frontier-or-a- new-cybercriminal-hideout ü https://gblogs.cisco.com/jp/2022/11/talos-ipfs-abuse/ ü https://unit42.paloaltonetworks.jp/ipfs-used-maliciously/ ü フィッシングURLのデータベースら ü PhishTank (https://phishtank.org)、PhishStats (https://phishstats.info)、 OpenPhish (https://openphish.com) ü NTTηΩϡϦςΟͷChatGPTͰϑΟογϯάαΠτΛ൑ఆ͢Δݚڀ https://jp.security.ntt/tech_blog/102ih4e

アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とその気づきかた

Confidential. For internal use only. フィッシングサイトのデータ分析ハンズオン 事前説明

課題︓ データから傾向を読み取る JPCERT/CCがgithubで公開しているフィッシングサイトのリストを利⽤して、 2022年4⽉~2023年3⽉の１年において、どの事業者になりすましたフィッシングサ イトが多かったかを分析してみましょう。 • リスト本体 https://github.com/JPCERTCC/phishurl-list • データ概要説明 https://blogs.jpcert.or.jp/ja/2022/08/phishurl-list.html 1. 横軸︓「⽇付」、縦軸︓「URL数」、凡例︓「上位30事業者+OTHERS」の週次タ イムチャートを作成する ※OTHERS = その他の総和 2. (Optional) 凡例を次に変更する どのパターンのフィッシングURLが多かったか ① ドッペルゲンガードメイン（正規ドメインと類似しているもの） ② 独⾃ドメイン （正規ドメインと類似していないもの） ③ 短縮URLサービス ④ Dynamic DNSサービス ⑤ IPFSゲートウェイ ⑥ 直IPアドレス

解答のグラフ（タイムチャート）のイメージ図 課題1 課題2

JPCERT/CCのphishurl-listのrawデータ形式 週&descriptionでグループ化し、URL数をユニークカウントする統計処理が必要 Excel手作業で分析される方は 、テキストエディタで事前にデファング「http -> hXXpと . (ドット) -> [.] などに置換」し、 ハイパーリンクが生成されないようにしてください。

Confidential. For internal use only. フィッシングサイトのデータ分析ハンズオン 解答概要

データ加⼯＆可視化ツールの紹介 Excel (⼿作業 or VBAマクロ) Julia (DataFrame + Plots,PlotlyJS,PyPlot) Python (pandas + matplotlib) R (標準データフレーム + ggplot2) Elastic Stack (File Data Visualizer + TSVB) ⭐ Splunk (Free版でOK)

Excel (⼿作業 or VBAマクロ) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. CSVを読み込んだ際の⽂字化け、UTF-8で開きなおす ü https://www.pc-koubou.jp/magazine/38143 3. 不要なカラム列やゴミ⾏を削除 4. ピボットテーブルを使い、⾏:date,列:description,値:URLにする 5. グループ化によりdateを１週間単位にする ü https://hamachan.info/win7/excel/pibot.html#st-toc-h-2 6. ⾏と列を⼊れ替える（⾏:description, 列:date） 7. 値で降順ソートをして、上位30⾏を抜き出す 8. 残りをOTHERとして合計値を取りOTHER⾏を作成 9. 別シートに7.上位30⾏と8.OTHERの結果を連続して貼り付ける 10.7に対して線形グラフを作成 11.縦軸・横軸を⼊れ替える JPCERT/CC公開情報のURLはデファング(無害化)されてないため、 ⼿作業中に誤ってフィッシングURLにアクセスしないように︕ 「VBAマクロ」で 作成する⼿もある

課題1: Excel (⼿作業 or VBAマクロ) の解答例

Julia (DataFrame + Plots,PlotlyJS,PyPlot) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイル にする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. Julia 1.9.2 環境で実⾏ (Jupyter notebookの例) GitHubの本コードレポジトリ - https://github.com/Tatsuya- hasegawa/SR01_jupyter_timecharts/tree/main/Julia

課題1: Julia (PlotlyJS)の解答例

Python (pandas + matplotlib) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイル にする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. Python 3.11 実⾏環境で実⾏ (Jupyter notebookの 例) GitHubの本コードレポジトリ - https://github.com/Tatsuya- hasegawa/SR01_jupyter_timecharts/tree/main/Python

課題1: Python (pandas + matplotlib)の解答例

R (標準データフレーム + ggplot2) 1. ⽉毎のCSVファイルをマージして⼀つのCSV ファイルにする 2. 好きなIDEを開く(VSCodeの例) 3. コードを書く (右) 4. R 4.3.1 実⾏環境で実⾏ GitHubの本コードレポジトリ - https://github.com/Tatsuya- hasegawa/SR01_jupyter_timecharts/tree/main/R

(参考) R professional example: 現代⾵（tidyverse特化版） R⾔語のプロによるスマートな書き⽅ ü 現在のtidyvserseではlubridateが⾃動読み込 みのため不要 ü Others抽出のための頻度計算がfct_lump_n() で楽々 ü geom_lineのstat=“count”オプションで集計 GitHubの本コードへのリンク - https://github.com/Tatsuya- hasegawa/SR01_jupyter_timecharts/blob/ main/R/sr_phishing_kadai1_professional.r

課題1: R (標準データフレーム + ggplot2)

Elastic Stack (File Data Visualizer + TSVB) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. docker elkstackを起動する • https://github.com/deviantony/docker-elk https://qiita.com/ohhara_shiojiri/items/0b45fd000103b7345073 3. WebUIで操作 File Data Visualizer TSVB (Time Series Visual Builder)

課題1: Elastic Stack (File Data Visualizer + TSVB)の解答例

Splunk (Free版でOK) 1. ⽉毎のCSVファイルをマージして⼀つのCSVファイルにする 2. docker splunkを起動する • https://github.com/splunk/docker-splunk • https://qiita.com/class2glass/items/fc40fad51ce056e85ea8 3. WebUIで操作

課題1: Splunk (Free版でOK)の解答例

課題2: Splunk (Free版でOK)の解答例

アジェンダ 1. 20分 リサーチ報告 • フィッシング詐欺の最新動向 2. 15分 フィッシングサイトのデータ分析ハンズオン • JPCERT/CCの公開データを分析 3. 最⼤15分 ディスカッション(交流) • ⾝近にあったフィッシング攻撃とそのときの気づき⽅

Confidential. For internal use only. ディスカッションテーマ ⾝近にあったフィッシング攻撃とそのときの気づき⽅ 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackに書き込む形で交流してみましょう。 最後に発表やまとめは⾏う予定はありませんが、興味深いものは花⽥会⻑が紹介してくれるかも!? 例︓業務⽤メールアドレスに来たフィッシングメールが、 普段⾒かけない英語メールだったため気がつけた

No content