Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

ファビコンハッシュでフィッシング及び脆弱なアプリケーションIPアドレスの検知

2022.06.26 23:34
ファビコン (Favicon) とは favorites + icon の 複合語で ウェブサイトを代表するアイコンです。ファビコンが 適用された ウェブサイトへアクセスすると、ブラウザのアドレスバーの 上の タップでアクセスしたウェブサイトのファビコン(favicon)とタイトル(title)が表します。ほぼ全ての企業や公的機関のウェブサイトと ユーザーに 提供されるサービスのウェブページでは大方このようなファビコンが適用されています。Criminal IP (https://www.criminalip.io) はウェブサイトのファビコン検索でIPアドレスを照会できる “favicon” フィルターを提供します。Criminal IP のファビコン フィルターを活用すると、特定の IPアドレスを検索でき、偽造されたフィッシングドメイン、攻撃対象領域の漏洩された 管理者ページなど、様々な脆弱性まで見つけられます。



ファビコン検索で特定のIPアドレス探し


Criminal IP IT資産検索ではファビコンが適用されたウェブサイトのIPアドレスを照会するために、favicon フィルターの後にファビコンハッシュを入力します。特定の ファビコン ハッシュを 計算するには 多様な手法が あります。Python コード を活用したり、無料で 提供される ファビコン ハッシュ計算機 を 使っても 良いです。しかし、Criminal IP はファビコン ハッシュ アルゴリズム 16 進数を 使っていて、上のファビコン ハッシュ 計算機として 確認された 10 進数の 値を 16 進数へ 変換した後、検索しなければなりません。例えば、ルータの 提供会社 MikroTik のファビコン ハッシュを 検索してみると、MikroTic RouterOS の管理者ページが 全て 409,882 件が 照会されます。


favicon: 72b36155

Criminal IP のファビコンハッシュ検索で見つけたMikroTikルータのデバイスIPアドレス

照会された MikroTik RouterOS 検索結果の中であるウェブサイトへアクセスすると、実際 MikroTikルータのOSページへアクセスることになります。

ファビコン検索で見つけた MikroTik ルータOSデバイスの管理者ページ



ファビコン ハッシュ検索で偽造されたフィッシング ドメイン探し


また、Criminal IP を活用したファビコン検索は偽造されたフィッシング ドメインを見つけ出すことができます。


[Criminal IP Youtube - ファビコン ハッシュで偽造された PayPal ログイン ページを見つける方法]

Paypal のファビコン ハッシュ値をアセット検索にファビコン フィルターで入力すると、Paypal ファビコンが適用された全ての IP アドレスを照会できます。


favicon: 126b479d

Criminal IP で検索したPayPal のファビコンハッシュの検索結果


照会された全ての IPアドレスに連結されたウェブサイトの中には実際のPayPalウェブサイトと偽造されたウェブサイトが混在されています。検索範囲を絞るため、追加のフィルターを使ってPayPal が所有していないIPアドレスを外せます。AS_Name除外フィルターを使って "-as_name:PayPal, Inc." クエリーを追加すると AS_Name が PayPal, Inc.  ではない IP アドレスのみを選別できます。


favicon: 126b479d -as_name: PayPal, Inc.

PayPal ファビコンが適用された IP アドレスの中で、
PayPal, Inc. が所有していないIP アドレスのみを検索


検索された IP アドレスの中で、あるウェブサイトを確認したところ、実際の Paypal ログインページに似たフィッシング サイトが発見されました。実際の PayPal のログインページに似た形で偽造するため、ファビコンとタイトル、UI を作り出した様子です。しかし、ログイン機能以外、言語の変更、クッキーポリシーなどのボタンは比活性されていて、何よりも SSL 認証ができないため、ウェブサイトの警告が表れています。

favicon フィルター検索で見つけた PayPal の偽造されたログインページ

実際のPaypalログインページ、偽造されたPayPalログインページとは違う


その他にも CIP Blog レポートでは ファビコン フィルター検索を応用し、攻撃対象領域に漏洩された HFS HTTP File Server を検索する方法を紹介したことがありまして、そのレポートをご参考にするのもおすすめです。


データの提供