2021年上半期 Phishers' Favorites

金融機関を狙った攻撃が急増、ソーシャルメディアブランドは常に狙われるターゲット

Phishers' Favoritesは、Vadeによるフィッシング攻撃で最もなりすましの多かったブランド25社の四半期ごとの分析です。このランキングは、四半期ごとに検出された固有のURLの数に基づいています。固有のフィッシングURLとは、単一のフィッシングURL数であり、検出されたフィッシングメールの総数ではありません。この上半期レポートは、2021年1月1日から2021年6月30日までの期間を対象としています。

Phishers_Favorites_H1_2021_blog_background_EN-JP全リスト

固有のURLの数のみに基づいたトップ25のリストでは、3つのブランドがリストを支配し、トップ5には2つの金融サービスブランドと2つのソーシャルメディアブランドがランクインしました。一貫してリストのトップにランクされているMicrosoftは、トップ10の中で唯一のクラウドブランドでした。

上半期では、高度な自動化技術と評判の高いドメインの悪用を特徴とする高度なフィッシング攻撃が急増しました。2021年の上半期に高度な標的化と自動化が見られたため、検出された固有のURLの合計数よりも、受信した脅威の性質や質の高さに重点を置くことが必要です。

Credit AgricoleFacebookを抜いてトップの座を獲得

Credit Agricoleは、2021年上半期になりすまし最多ブランドとなり、1万7755件の固有のフィッシングURL数を記録し、Phishers' Favoritesリストのトップ10にいきなりランクインしました。ソーシャルメディアの最大手企業Facebookをわずか2.4%上回る固有のフィッシングURL数を記録し、トップの座を獲得しました。

Phishers_Favorites_H1_2021_Credt Agricole_focus_JP

Credit Agricoleがトップに立つのは初めてのことです。Credit AgricoleのフィッシングURLは、第1四半期に比べて296%増加しました。Credit Agricoleの1日に発生した固有のフィッシングURL数が最も多かったのは、Vadeが1004件検出した5月6日でした。

Credit Agricoleは、第1四半期から第2四半期にかけてPhishers' Favoritesリストで急上昇し、上半期における金融業界のフィッシングの全体的な傾向を示しました。金融サービスは、トップ25に8つのブランドがランクインし、検出された固有のフィッシングURL数全体の36%を占めました。La Banque Postaleは、トップ25で2番目になりすましの多かった金融サービスブランドであり、PayPal、Chase、Wells Fargo、Squareup、HSBC、BanquePopulaireがそれに続きます。

Credit Agricoleと同様にLa Banque Postaleは、2021年上半期には7,180件の固有のフィッシングURL数を記録し、第1四半期から第2四半期にかけて831%と劇的な増加を示しました。この急増により、La Banque Postaleは順位を18位上げてリストの5位にいきなりランクインしました。

Poste

La Banque Postaleのフィッシングページ

金融サービスのフィッシングの増加は、新型コロナウィルス感染症が世界経済に与える影響に起因した可能性があります。この危機の初めに、世界中の企業と市民は、政府が支援するビジネスローンや消費者銀行や信用組合からの支払い延期または支払い休止を利用しました。

新型コロナウィルスのパンデミックが始まって以来、Credit Agricoleは中小企業や法人向けのビジネスローンへの21万1000件の申請を処理し、その合計額は3,150億ユーロに上りました。2021年2月、銀行は「正常に戻る」ことを発表しましたが、55万2000件のうち9万3000件の「支払い休暇」が依然として有効になっています。

コロナ禍の影響を受けた世界経済が徐々に正常に戻るにつれ、金融機関への支払期限も迫ってきました。これは、ハッカーたちが、借り入れや支払いを延期した企業や個人に対して用いる重要な武器であり、世界中で支払い猶予期間の期限を迎える中、金融サービスのフィッシングへの傾向が続くことを示唆しているかもしれません。

上半期で2番目になりすましの多かった業界はソーシャルメディアです。ソーシャルメディアはトップ25に4つのブランドがランクインし、フィッシングURL数全体の26%を占めています。3番目に来るのはクラウドで、次にeコマース/ロジスティクス、インターネット/通信事業者と続きます。

 

Phishers Favorites H1 21-Industry Focus-JP

関連コンテンツ [eBook] Phishers' Favorites 2020年を振り返る

 

Microsoftは最もなりすましの多いクラウドブランド

マイクロソフトは、上半期に12,777件の固有のフィッシングURL数を記録し、2020年下半期から順位を2つ下げて3位にランクインしました。Microsoftは、クラウドのカテゴリーで他のすべてを圧倒し続け、17位にランクインしたNetflixと比べて556%多いフィッシングURL数を記録しています。

第1四半期と第2四半期におけるMicrosoftを狙った攻撃の多さは、phishers’ favoriteの中で長年にわたり上位に位置していることからも継続している傾向であることがわかります。Microsoftは、過去6四半期のうち4四半期でPhishers' Favoritesのなりすまし最多ブランドになっており、2018年以降全体で最もなりすましの多いブランドです。

Microsoft 365スイートは、企業のメールおよび生産性ソフトウェアの競争をリードしているため、Microsoft 365でホストされている企業データの宝庫にアクセスしたいハッカーにとってMicrosoftブランドは魅力的なターゲットです。

6月下旬にVadeは、Microsoft 365のログインページでの公開ロゴと背景画像の自動レンダリングを特徴とする高度なMicrosoftフィッシング攻撃を検出しました。被害者がメールのフィッシングリンクをクリックすると、待機ページに移動します。その目的は、ユーザーが意図したターゲットであるかどうかを判断することです。ハッカーは、その手段として被害者のメールアドレスを使用してAPIコールをMicrosoftに送信します。

ユーザーが対象とするターゲットでない場合、フィッシングページは表示されません。被害者が対象とするターゲットである場合、ハッカーは被害者の企業体のロゴと背景画像のHTTPのPOSTリクエストを行います。

code

被害者は、自分の会社の企業ロゴと背景画像を使って特別に作られたMicrosoft 365のログインページにリダイレクトされます。以下は、MicrosoftのフィッシングページにVadeのブランドが表示されている動的なWebページの例です。被害者が長くて複雑なURLに気づかない限り、そのページが詐欺であると疑う理由はありません。

vade portal

関連コンテンツ:[インフォグラフィック]Microsoft 365のメールセキュリティソリューションを評価する

FacebookWhatsAppがソーシャルメディアのフィッシングを支配

ソーシャルメディアはトップ25に4つのブランドがランクインしただけでしたが、上半期のフィッシングURL全体の25.6%を占めました。Facebookは、このリストで最もなりすましの多いソーシャルメディアブランドで、Phishers' Favoritesリスト全体で2位となりました。Vadeは、1万7338件の固有のFacebookフィッシングURLを検出し、その数は2020年下半期から146%の増加となりました。FacebookのフィッシングURLが2020年第4四半期から2021年第1四半期にかけて137%増加し、第1四半期に最大の増加率を見せました。

2020年の数四半期をひっそりとやり過ごした後、WhatsAppのフィッシングは2021年第1四半期に爆発的に増加した結果、順位を6つ上げて4位にランクインしました。WhatsAppのフィッシングURLは、2020年第4四半期から2021年第1四半期にかけて441%増加し、その後第2四半期に58%減少しましたが、それでもなお2020年下半期の傾向をはるかに上回る結果となりました。

Phishers_Favorites_H1_2021_Facebook-WhatsApp_focus_JP

WhatsAppブランドは、2021年上半期にいくつかの注目を集めたフィッシング事件に巻き込まれました。ある詐欺では、オーストラリアの高位の政治家や外交官が巻き込まれ、WhatsAppまたはTelegramアカウントのいずれかを有効化するように求めるWhatsAppのフィッシングメールをクリックするように騙されました。次に、サイバー犯罪者は被害者の連絡帳にアクセスし、著名な民主主義支持者を含む被害者の連絡先に迷惑メールを送信しました。4月には、SMSを利用したWhatsAppのフィッシング詐欺が広まりました。6月初旬には、別のWhatsAppのフィッシング詐欺が、コンテストの勝者にロレックスの腕時計をプレゼントするという偽の懸賞に参加するようにそそのかして、何千人もの犠牲者が標的になりました。

2021年上半期のフィッシングトレンド

フィッシングとマルウェアの活動の増加

全体的なフィッシング数は、5月に大幅に増加し(281%)、6月にさらに284%増加して、その月に42億件のフィッシングメールがVadeによって検出されたことによって、2021年第2四半期に劇的に増加しました。5月の増加は、AmazonとSMBCのフィッシングの増加によるものだけでなく、スパムボットの活動に起因していた可能性があります。

メールで配信されたマルウェアは、第1四半期の1月にピークに達した後、同四半期の残りの期間は徐々に減少していきました。第2四半期の5月にマルウェアのメールは95%増加し、2100万件近くのメールが検出されました。その後、マルウェアのメールは次第に減少し、5月から6月にかけてわずかに減少(5.3)しました。

COVID-19(新型コロナウィルス感染症)

新型コロナウィルスのパンデミックは、世界中のサイバー犯罪者を刺激し続けました。Vadeは、第2四半期だけでも、企業のメールアカウントを対象とした650万件の新型コロナウィルスをテーマにしたメールを検出しました。全体として、第2四半期に米国とEUで送信された新型コロナウィルスをテーマにしたすべてのメールのうち10%が悪意のあるものでした。世界的な予防接種の取り組みが本格化する中、新型コロナウィルスは、ワクチンの接種を受ける、または避けることに関する情報をなおも強く希望する被害者にとって、依然として最大の罠になっています。

2021年3月、Vadeは、ファイザー、モデルナ、ジョンソン&ジョンソンなどのさまざまなワクチンに関連する新型コロナウィルスをテーマにした不正メールを3日間で100万件検出しました。キャンペーンに含まれる件名には、「重要なファイザー社ワクチンに関するメール」、「ファイザー社ワクチンに関する調査要回答」、「ファイザー新型コロナウィルス調査の回答の確認」などがあります。

johnson

このキャンペーンは、ランダムノイズをテキストに挿入してメールフィルタを欺く、リモート画像を使用してテキストを隠す、評判の高いドメインを使用して画像をホストする、またはhttps://storage.googleapis.comのような最終的な悪意のあるWebサイトにリダイレクトするなど、一連の回避手法を使用して検出機能をすり抜けました。

フィッシング犯罪が最も多い国

ブラジルは、第2四半期の最終月にフィッシングにおいて他のすべての国をリードしました。ロシアは2番目にフィッシング犯罪の多い国であり、それに続いてインドネシアとウクライナがサイバー犯罪活動の温床として有名です。

Phishers_Favorites_H1_2021_Country_Senders_JP

フィッシング犯罪者たちは、フィッシングメールの配信元として引き続き少数のドメインに依存しており、中でもGoogleが最も人気のあるサービスです。フィッシング犯罪者は、SharePointやSalesforceなど、企業ユーザーが日頃から重要なメールの受信に使用しているドメインも好んで使用します。これら2つは、フィッシング犯罪者が頻繁に悪用する評判の高いドメインです。6月のヨーロッパと米国における78万694件の企業メールアドレスの分析では、gmail.comがフィッシングメールの送信に最も頻繁に使用されたドメインとなりました。

リモート画像の脅威

リモート画像は、検出を回避する目的でサイバー犯罪者によってますます使用されるようになっています。リモート画像は、受信者がメールを開くと表示されますが、遠隔でホストされています。2021年第1四半期から第2四半期まで、Vadeは、Computer Visionを基本とする検出エンジンの1つであるRIANA(Remote Image ANAlysis)を使用して、リモート画像を使用している3億件の脅威をブロックしました。

vaccine

RIANAは、リモート画像をフェッチしてテキストを抽出してから、自然言語処理モデルを適用して、従来のフィルタエンジンでは認識できない不審なキストコンテンツを検出します。RIANAは現在、英語、フランス語、イタリア語、ドイツ語、オランダ語、スウェーデン語の不審なテキストの検出をサポートしています。

サイバー犯罪者に遅れを取らない

サイバー犯罪者たちが技術を磨き、検出を回避する革新的な方法を見つけ続けるにつれて、Vadeは、 Computer Vision技術への多額の投資を含め、それらを阻止する新しい方法を見つけることに専念しています。RIANAと同様に、当社のロゴ検出エンジンはComputer Visionに基づいて画像を分析するように設計されています。ロゴ検出は、画像からブランドのロゴを抽出してフィッシングや、より一般的には有名なブランドになりすます脅威を特定します。ロゴ検出は、ディープラーニングモデル(VGG16、ResNet)に基づいているため、サイバー犯罪者が検出を回避するために利用する画像操作技術に対して強みを持つのが特徴です。

最後に、HTMLとCSSは悪意のあるコンテンツを隠すための無限の可能性を提供するため、メールソフトウェアと同じようにメールをレンダリングし、生成されたビジュアルコンテンツを分析することが理想的です。これは、Vadeによって開発された最新のComputer VisionテクノロジーであるELSA(メールスクリーンショット分析)が取っている手法です。ELSAは、不審な特徴を備えたメールを選択して、スクリーンショットにレンダリングしてから、既知の悪意のあるメールのグラフィックレンダリングと比較します。ELSAは、ORBのような安定した機能検出アルゴリズムを活用して既知の攻撃の亜種を検出できるため、小さな変更に対する回復力があります。ELSAは現在、1日あたり最大1.5件のメールをブロックしています。

 

ハッカーが検出を回避するために使用する回避手法と、ビジネスを守る方法の詳細については、eBook「フィッシング攻撃:検出をすり抜ける高度な技術」をお読みください。