今回は、2019年第2四半期のPhishers’ Favoritesリストを発表します。今回の第5版のPhishers’ Favoritesでは、フィッシング攻撃で最もなりすましの多かったブランド上位25社を、Vade Secureが今四半期内に検知した固有のURL数に基づいてランキングします。


Microsoftは5四半期連続でフィッシング標的ブランドの首位に留まる

Microsoftは、再び第2四半期のPhishers’ Favoritesの首位に立ちました。当社の5つ報告すべてにおいて、同社はこの不名誉を残しました。今四半期において、当社のAIエンジンは、驚くべき20,217件の固有のフィッシングURLを検知しました。つまり、1日平均で222件以上の検出数です!実際には、URL数は第1四半期から6.8%減少しましたが、2018年第2四半期を通して、なおも15.5%増加したことが当社のPhishers’ Favoritesから分かります。さらに、第2四半期のMicrosoftと第2位のPayPalのフィッシングURL数の差は4,300件以上あります。

Microsoftのフィッシングが長期的な優勢を保ち続けている理由を理解するために、Office 365の規模と成長について考えてみましょう。同社の最新の四半期所得において、Microsoftは、 月間のアクティブなOffice 365のビジネスユーザー数が1億8,000人以上であることを報告しています。さらに、IDCの予測では、Office 365が世界中の企業のクラウドメールのインストール数の約半数(47.6%)を占めているとされています。Office 365が拡大すればするほど、ハッカーたちが標的に選ぶ傾向が強まります。

しかし、規模は話の半分に過ぎません。ハッカーたちにMicrosoftが好まれる理由として、Office 365の認証情報の利益の高さが挙げられます。これらの認証情報は、会社のグローバルアドレス一覧(GAL)やSharePoint、OneDrive、Skypeなどに保管されているドキュメント、情報、連絡先などを含むOffice 365のプラットフォーム全体への単独のエントリーポイントを提供します。また、ハッキングされたOffice 365のアカウントが、データ漏洩した会社内の他の社員や提携先を狙うスピアフィッシングメールの送信に使われるケースも次第に増えてきています。

Office 365のフィッシング攻撃は、アカウント停止要求から、OneDriveやSharePointドキュメントへのリンク、ボイスメールの録音やファックスに至るまで多岐にわたります。最近の例では、Typeformのような無料のオンラインツールを使用して、認証情報を収集するための偽のフォームを作成してホストするものがあります。当社は、件名に「Closing Your Office ƷбƼ」というロシアのキリル文字などの外来の文字セットが使われているメールも発見しました。これは、「Office 365」に完全一致するものを探す基本的なコンテンツフィルターを迂回することが目的です。

さらに、ハッカーは、正規のMicrosoftのウェブサイトからJavaScript、CSSやその他のリソースを盗み取り続けます。同一のユーザー体験を再現するだけでなく、これらのリソースは高速CDNに保管されているため、この手法を使えば、これらを更新する必要がなくなり、ウェブページの読み込みの速度を上げられます。


PayPalはフィッシングURL数において8.4%減少しながらも、第2位に留まる


PayPalは、第1四半期と比べて、フィッシングURL数において8.4%減少したにもかかわらず、第2四半期は第2位に留まりました。とはいえ、2018年第2四半期に比べると、PayPalのフィッシングは、実際に前年比で111.9%増加しました。

PayPalは以前からハッカーの格好の標的でした。というのも同社は、最も幅広く使われている世界的なオンライン支払いサービスであり、アクティブユーザー数は、第1四半期には2億7,700万人以上に及びました。これらのアカウントの特性のおかげで、PayPalの認証情報を収集すれば、ハッカーはすぐに見返りを受けることができます。

PayPalのフィッシングメールは、通常、受信者のアカウントが閉鎖されたり、停止されたりしたと主張して、不正ページを訪問させて、自分のアカウントを「確認」したり、「回復」したりするように促します。例えば、Vade Secureは、「あなたのアカウントは無効になっていますので、ご確認ください」という件名のPayPalのフィッシングメールを最近検知しました。 送信者の表示名は「PayPalセキュリティ」でしたが、ハッカーは長いメールアドレス(no-reply-support-team_._@ewrtdrf.com)を使用しており、これはドメインの難読化を図った可能性があります。また、この攻撃で興味深いのは、このメールには、ランダムなウェブサイト(Vivid Seats)にリンクしてから単独のフィッシングURLへ繋がる28件の正常リンクが含まれていたことです。ハッカーは、受信者を混乱させようとします。メール内の最初の数少ないURLは馴染みのあるウェブサイトへ繋がりますが、それは、最後に待ち構えている悪質サイトへの警戒を解くためのものだったことを受信者は後になって知ることになります。

この詐欺の変化型は4月初旬に広まりましたが、メールではなくテキストメッセージから発生しました。テキストメッセージは、その顧客のアカウントが調査中であることを告げ、アカウントの閉鎖を避けるためにフォームに記入するように要求しました。bit.lyリンクが不正ドメインを難読化するために使用されていました。


第2四半期に急上昇したFacebookフィッシングが第3位にランクイン

2018年の第2四半期から第4四半期まで3四半期連続で減少した後に、Facebookフィッシングは2019年にすさまじく増加しており、フィッシングURL数は、第1四半期(155.5%)および第2四半期(175.8%)、さらに前年比の成長率においても176.1%と、3桁で急増しました。この著しい増加によって、ソーシャルメディア業界の順位が1つ上がり、当社のリストの第3位へ押し上げられました。

一つの妥当な説明は、FacebookのアカウントやFacebookログインと呼ばれる機能を利用したソーシャルサインオンの増加だと思われます。Facebookの認証情報一式を使えば、ハッカーはそのユーザーがソーシャルサインオンを介して許可した他のアプリを把握することができるため、それらのアカウントに不正にアクセスができます。

ハッカーは、Facebookログインの広汎性を利用して、創造性のあるフィッシング攻撃を仕掛けます。広く報道された某攻撃は、ソーシャルログインプロンプトをHTMLブロック内に複製しました。ステータスバー、ナビゲーションバー、シャドーやコンテンツは正規のログインプロンプトと全く同じように見えるように複製されていました。

3月に起きた、同様のFacebookのフィッシングキャンペーンは、Apple iOSのユーザーを狙ったもので、悪意のあるページへユーザーを導き、そこでユーザーに、Facebookログインを使って認証作業を行うように求めました。「Facebookでログインする」ボタンをクリックすると、ユーザーには、iOSプロンプトのようなものが表示されます。しかし、実際には、それはHTMLドキュメントの画像に過ぎませんでした。別の巧妙なトリックは、ビデオレコーディングを使ってユーザーを騙す手口です。この手口では、一度ユーザーのログインする意思を確認したら、使用しているブラウザは切り替わるタブだとユーザーに信じ込ませることができました。


トップ10を締めくくる:Amazonが順位を15上げて第8位に急上昇

Netflixは、当社の第2四半期の報告で、フィッシングURL数がわずかに8.2%上昇したにもかかわらず、順位を1つ下げて第4位になりました。バンク・オブ・アメリカは第5位に留まり、Appleは順位を2つ上げて第6位に上昇、CIBCは順位を3つ上げて第7位となりました。Amazonはトップ10の中で最も変動が大きく、順位を15位大幅に上げて第8位になりました。DHLは順位を2つ下げて第9位、Docusignは順位を1つ上げて第10位にランクインしました。

Amazonを詳しく見てみると、AmazonのフィッシングURL数は第1四半期を通して182.6%増加し、前年比では驚くべき411.5%の増加がありました。特に、5月5日にAmazonのフィッシング数が急上昇し、固有のURL数が84件になりました。これは新しいAmazonのフィッシングキットの報告と一致しており、2018年後半にAppleを狙った16shopフィッシングキットといくつかの類似点を掘り下げています。

Amazonは、2019年のプライムデーの日にちを発表した直後の6月19日に、比較的小規模ながら重要なフィッシングURL数の急増を受けました。ハッカーは、ターゲットの警戒心が緩むことを期待して、このような大きなイベントのマーケティングメッセージに便乗して攻撃を仕掛けることがよくあるため、これは驚くべきことではありません。

概して、他のブランドとは対照的に、Amazonのフィッシングメールには実に多くの種類があります。次に挙げるのは、最近見受けられた件名例のごく一部です。

  • おめでとうございます、あなたのAmazonロイヤリティクーポン #96-651をお届けします
  • Amazonからの新しいサプライズ
  • Amazonからの特別サプライズ
  • あなたのための限定商品を忘れずに獲得してください
  • 今夜中にAmazonカード#25-139を商品と引き換えましょう
  • プライム会員:Amazonのご注文番号C580148、12時間後に無効になる前にAmazonリワードを集めよう。
  • プライム会員:プライムデーのAmazonリワードを確認しよう
  • あなたのリワード#AM719XBが保留になっています。いますぐ獲得してください!
  • おめでとうございます、あなたのAmazonロイヤリティクーポンをお届けします!


クラウドは引き続き最多フィッシングURL数を示しているが、ソーシャルメディアは最大の増加を見せた

業界の構成に関して言えば、Phishers’ Favoritesリストは第2四半期にわずかに変化しました。StripとAlibabaがトップ25内に入り、金融サービスとeコマース/流通会社の合計数がそれぞれ8社と4社になりました。その一方で、Instagramと国税庁がリスト圏外に下降し、トップ25内のソーシャルメディア会社は2社、政府機関は皆無になりました。OVHが加わりましたが、NBCがリストからから外れたので相殺され、インターネット/通信事業は5社。一方、クラウド6社は全般的に変化がありませんでした。

フィッシングURLの全体のシェアに関しては、クラウドが37.6%で5四半期連続で首位に立ち、金融サービス(33.1%)、ソーシャルメディア(15.6%)、eコマース/流通(7.7%)、インターネット/通信事業(5.2%)が後に続きます。クラウドのフィッシング全体のシェアは、引き続き減少傾向にあり、2018年の第4四半期の49.6%から減少し、2019年第1四半期には42%、今四半期には37.6%になりました。

四半期比の増加に関しては、ソーシャルメディアが再び最も大きく変動しました。事実、ソーシャルメディアのフィッシングは加速的に増加し、第1四半期の74.7%から第2四半期には実に130.7%に膨れ上がりました。これは、他の唯一のソーシャルブランド(第19位 LinkedIn)がフィッシングURL数で12.5%減少していることを踏まえると、Facebookの急上昇によって単独で導かれたものです。

eコマース/流通は同様に、四半期比で28.4%という強力な増加を見せ、その一方で、金融サービスとクラウドには、各々4.1%と0.1%のわずかな増加がありました。第2四半期で、政府機関のフィッシングは12.1%減少し、インターネット/通信事業のフィッシングは16.8%減少しました。


フィッシング攻撃のおよそ80%が平日に送信されており、火曜日と水曜日にその数は最多となる

全体的に見て、第2四半期はフィッシングの79.8%が平日に送信されました。フィッシング攻撃が最も盛んな曜日は、第1四半期の月曜日と火曜日から第2四半期には火曜日と水曜日にわずかに変化しました。攻撃の量が中程度になるのは、月曜日、木曜日、金曜日です。そして、フィッシングが最も少ないのは、予想通り土曜日と日曜日です。

個別のブランドを見ると、Microsoftのフィッシングは火曜日と木曜日に最も頻度が高くなり、過去の四半期同様、週末は実質的に存在しません。平日のMicrosoftのフィッシングの分布をさらに詳しく説明すると、Microsoftは第2四半期の平日91日間の71%においてフィッシング被害のあったブランドの第1位となっており、Facebook(18%)、PayPal(11%)がそれに続きます。Office 365のフィッシングに焦点を当てて、ハッカーは、平日に出勤してメールを利用する職業の人をうまく利用して、成功する確率を高めようとします。

PayPalのフィッシングは月曜日と金曜日に最も多く見られましたが、興味深いことに、PayPalは週末の54%においてフィッシング被害数第1位のブランドになりました。Facebookのフィッシングは水曜日と金曜日に最も頻度が高くなり、Netflixは月曜日と水曜日、バンク・オブ・アメリカは火曜日と木曜日に頻繁に発生していました。トップ10の中の主な異分子はCIBCのフィッシングで、第2四半期は土曜日と日曜日に急増しました。過去にも報告しましたが、ハッカーは、支店やカスタマーサービス回線が営業していない週末に、銀行の顧客を標的にすることがよくあります。この場合、メールでの要求が正当なものかどうかを確認するのはさらに困難です。


MSP:Phishers’ Favoritesを使って、貴社のクライアントを教育して保護する

MSPに対して、Phishers’ Favoritesは、動的な脅威の状況およびそれがどのように絶えず進化しているのかについてクライアントを教育するのに役立つ大量の情報を提供します。どのブランドのなりすましが上昇しているのかを浮き彫りにして、最近の攻撃例を提示することができます。最終的に、これによって、クライアントの既存のメールセキュリティ管理を見直し、Vade Secure  for Office 365のようなソリューションを配備して、AIに基づいた脅威検知と自動修復機能を使って、Office 365のネイティブな保護を高める機会を促します。