今回は、2019年第1四半期のPhishers' Favoritesリストを発表します。今回の第4版では、フィッシング攻撃において最もなりすましの多かったブランド25社がリストアップされています。このランキングは、Vade Secureが今四半期内に検知した各ブランドの固有のフィッシングURLの数に基づいています。
過去3四半期に関して、私たちは北米およびヨーロッパそれぞれのPhishers’ Favoritesを発表してきました。しかしながら、それぞれの地域の上位25ブランドにあまり差異が見受けられないため、今回一つのグローバルリストを発表することにしました。
前置きはともかく、こちらがその完全リストです。リストの下に追加の分析が掲載されています。
Microsoftは、ハッカーがおとりのターゲット利用するブランドの首位の座をキープ
もしかしたら、もはやMicrosoftが4四半期連続でPhishers’ Favoritesリストのトップに立ったことを驚かないでしょう。ハッカーたちが消費者をターゲットにしていたクリスマス時期にその活動は著しく減少しましたが、1月にはMicrosoftのフィッシング数は徐々に回復し、2月・3月にはその激しい勢いを取り戻しました。実際に、3月4日の週は、私たちが分析を開始して以来、一週間のMicrosoftのフィッシング件数が過去最多になった週でした。年初はゆっくりとしたペースで始まったため、MicrosoftフィッシングURLの数は実際に第1四半期で初めて減少し、2018年第4四半期からわずかに4.5%少なくなりました。
ハッカーたちがMicrosoftを好み続ける理由は、Office 365の認証情報の利益率の高さにあります。Office 365の認証情報があれば、一つのエントリーポイントからOffice 365のプラットフォーム全体にアクセスできるだけでなく、不正にアクセスしたアカウントを使って多層攻撃を仕掛けることもできます。実際に、Microsoft社の調査によると、Office 365のフィッシング攻撃は2018年1月から12月の間に250%も増加しました。
Office 365のフィッシング攻撃は、アカウント停止要求から偽のOneDriveやSharePointドキュメントへのリンクに至るまで多岐にわたっています。全体的に見ても、これらの攻撃は高度化しつつあり、多くのOffice 365のフィッシングページが視覚的には本物と見分けがつかなくなっています。これを完全にするために、ハッカーは実際のOffice 365のログインページを正確に模造して、正当なウェブサイトからJavaScriptとCSSを直接取り出し、自作のスクリプトを挿入して認証情報を収集します。
さらに、一度ユーザーの認証情報が提示されたら彼らを正当なMicrosoftページにリダイレクトして、何もおかしなことはないと信じ込ませようとするフィッシングページもあります。例えば、複数の顧客を標的にした最近の攻撃の一つは、ユーザーが「ログインした」後でOffice.comへ彼らをリダイレクトしていました。同様に、このフィッシングメールに関して注目すべき点は返信先が正当なMicrosoftのメールアドレス:support@microsoft.comになっていることです。これもまた、ユーザーに間違った安心感を与えることが目的です。
PayPalのフィッシングが急増し、同社は第2位に押し上げられた
毎年phishers' favoriteにランクインしているPayPalが、2019年第1四半期のフィッシングURL数において88%という著しい増加率を記録し、再び第2位に躍り出ました。PayPalは、2018年第2・第3四半期に第2位にランクインした後、2018年第4四半期にはフィッシングURL数が5.1%減少して第3位となりました。
PayPalは歴史的にハッカーたちに最も標的とされるブランドの一つであり、その理由も明らかです。つまり、これは最も広く利用されている世界的なオンライン支払いサービスであり、2018年第3四半期現在のアクティブユーザー数は2億5000万人以上となっているからです。さらに、世界中の多くのベンダーから承認されているため、PayPalの認証情報は非常に利益の高いものとなっています。
Netflixのフィッシング攻撃は消費者と法人ユーザーの両方を標的にしている
Netflixは2019年第1四半期は1つ順位を落として第3位となりました。NetflixのフィッシングURL数の増加率は、2018年第2四半期49.7%、第3四半期61.9%、第4四半期25.7%、2019年第1四半期は11.9%と横這い状態です。
内容に関しては、Netflixのフィッシングメールは、ユーザーのアカウントが停止された、もしくは支払いが拒否されたと主張するものがほとんどです。ここで興味深いのは、多くのNetflixフィッシングメールが法人のメールユーザーを標的にしている点です。ほとんどのユーザーは自分の個人メールアドレスをNetflixアカウントに使用しているので、一つ考えられるのは、ユーザーの会社のメールアドレスにNetflixからのメールが送信されてもユーザーはそれに気づかないとハッカーが期待しているということです。これは確かにあり得ることで、ユーザーがモバイル端末でメールを読んでいる場合は特に可能性が高まります。
もう一つの興味深い傾向は、多くのNetflixフィッシングメールには、(1件の悪質リンクに加えて)6、7件の正当なリンクが含まれている点です。この手法は、レピュテーションベースのメールフィルターと1つか2つのリンクをチェックするだけでそのメールが正当だと見なしてしまうユーザーの両方を騙すことを目的としています。
トップ10を締めくくる
Facebookは3つ順位を上げて第4位にランクイン、バンク・オブ・アメリカは1つ順位を下げて第5位、クレディ・アグリコルは順位を大きく15位上げて第6位にランクインしました。トップ10の残りのランクインは、DHLが第7位、Appleが8つ順位を上げて第8位、Dropboxが2つ順位を上げて第9位、Canadian Imperial Bank of Commerce(CIBC)が9つ順位を上げて第10位となっています。
NetflixやAppleなどのフィッシングは、消費者と法人ユーザーの両方を標的にする興味深い例です。さらに、Apple製品やサービスは種類豊富であるため、重要なセキュリティ更新や無効なAppleID、Appleストアの領収書など、フィッシングの対象範囲も多岐にわたります。請求書と称する悪質添付ファイルを含むフィッシングメールのような攻撃経路が組み合わせられているものもあります。
クラウドは引き続き最多フィッシングURL数を示しているが、ソーシャルメディアは最大の増加を見せた
2018年第4四半期には一貫性を保っていましたが、2019年第1四半期には、Phishers' Favoritesリストを構成する業界に変化がありました。2つの金融サービス会社がトップ25位から脱落し、この業界からランクインしているのは7社になりました。その一方で、ソーシャルメディアと政府機関においてそれぞれ1つが加わり、各合計数はソーシャルメディアが3社、政府機関が1組織となりました。クラウド(6社)、インターネット/通信事業(5社)、eコマース/ロジスティクス(3社)に変化はありませんでした。
割合に関しては、クラウドが4四半期連続でフィッシングURL数の大半を占めました。全フィッシングURL数の42%がクラウドプロバイダーのなりすましで、第4四半期の49.6%から減少しました。この減少は、トップ25にランクインしているクラウド6社のうち4社、つまりMicrosoft (-4.5%)、Docusign (-24.2%)、Adobe (-1.6%)、Google (-34.1%)が前期比で減少していることに起因しています
一方で、ソーシャルメディアのフィッシングは前期比でどの業種よりも大きな増加を見せました。ソーシャルメディアブランドになりすますフィッシングURLは第1四半期に74.7%増加し、3四半期連続の減少傾向を覆しました。この増加は、2つのブランド、つまりFacebookとInstagramのなりすまし攻撃が原因となっています。
FacebookとInstagramでのフィッシングの発生
Facebookのフィッシングは第1四半期に155.5%増加したことで、このソーシャルメディアの最大手企業は第4位に押し上げられました。Facebookは、実は2018年第1四半期のなりすましブランドの第1位でしたが、その後3四半期連続で減少し、2018年第4四半期では第7位に順位を落としました。
ハッカーがなぜ突然Facebookの認証情報に再び興味を持つようになったのを正確に把握するのは困難です。一つの妥当な説明はFacebookのアカウントを利用したソーシャルサインオンの増加だと思われます。Facebookの認証情報一式を使えば、ハッカーはそのユーザーがソーシャルサインオンを介して許可した他のアプリを把握することができるため、それらのアカウントに不正にアクセスができます。
もう一つの説は、Facebookの問題のあるビジネス手法です。最近のニュースで、Facebookは数億におよぶテキスト形式のユーザーパスワードを保管して、登録に際して新規のユーザーのEメールパスワードを要求していたことが明らかになりました。ハッカーはこの混乱とFacebookユーザーの懸念を上手く利用してフィッシングページをクリックさせるように仕向けることができたと思われます。
Instagramはもう一つの興味深い例です。3四半期にわたって、Instagramのフィッシングはほとんど存在していませんでした。その後突然、第1四半期になりすましURL数は1,868.8%という爆発的な増加を見せました。なぜこのように大幅に増加したのでしょうか?3月初旬に多くの報道機関が、Instagramの認証バッジを提供すると言って受信者に自分の認証情報を提供させようとする相次ぐフィッシングメールについて報道しました。これと同じフィッシング攻撃がVade Secureのテクノロジーによって検出されました。
月曜日と火曜日はフィッシングが最も多い曜日であり、平日はMicrosoftのフィッシングが支配的
フィッシング攻撃が最も盛んな曜日が、2018年第4四半期では火曜日と水曜日であったのが、2019年第1四半期では月曜日と火曜日に変わりました。攻撃の量が中程度になるのは、水曜日、木曜日、金曜日です。そして、フィッシングが最も少ないのは土曜日と日曜日です。
個別のブランドを見てみると、Microsoftのフィッシング攻撃は、全体的な傾向に従い、月曜日と火曜日にピークを迎え、水曜日、木曜日、金曜日は比較的多い状態を保ち、週末に一気に減少します。Microsoftの消費者製品やサービスではなく、Office 365に焦点を当てると、ハッカーたちが、成功する確率を高めるために、平日に出勤して仕事上でメールを使う人たちをうまく利用しようとしていることが分かります。
マイクロソフトのフィッシングがPayPalのフィッシングの週と週末を支配
平日のMicrosoftのフィッシングの蔓延をさらに詳しく説明するために、第1四半期の各日ごとの新規フィッシングURL数が最も多かったブランドを調べました。そして、四半期間全90日の結果を集計しました。Microsoftは、平日の72%を占めてフィッシングブランドの第1位に立ち、続いてPayPal(23%)、Facebook(3%)という順番になりました。
第1四半期の週末の1日の合計を調べると、PayPal(73%)、続いてFacebook(11%)、Netflix(8%)という結果になりました。 このボードから分かるのは、四半期ごとに多くの一貫性がある(例えば、Microsoftが首位の標的である)一方で、ハッカーは自らの創造性がとどまるところを知らないことを示しています。ハッカーたちの攻撃の構築方法、つまり、メッセージ内容から受信者を騙すテクニックに至るまで、それらは急速に進化し続けています。
