ファビコンハッシュでフィッシング及び脆弱なアプリケーションIPアドレスの検知
2022.06.26 23:34
ファビコン (Favicon) とは favorites + icon の 複合語で ウェブサイトを代表するアイコンです。ファビコンが 適用された ウェブサイトへアクセスすると、ブラウザのアドレスバーの 上の タップでアクセスしたウェブサイトのファビコン(favicon)とタイトル(title)が表します。ほぼ全ての企業や公的機関のウェブサイトと ユーザーに 提供されるサービスのウェブページでは大方このようなファビコンが適用されています。Criminal IP (https://www.criminalip.io) はウェブサイトのファビコン検索でIPアドレスを照会できる “favicon” フィルターを提供します。Criminal IP のファビコン フィルターを活用すると、特定の IPアドレスを検索でき、偽造されたフィッシングドメイン、攻撃対象領域の漏洩された 管理者ページなど、様々な脆弱性まで見つけられます。
Criminal IP IT資産検索ではファビコンが適用されたウェブサイトのIPアドレスを照会するために、favicon フィルターの後にファビコンハッシュを入力します。特定の ファビコン ハッシュを 計算するには 多様な手法が あります。Python コード を活用したり、無料で 提供される ファビコン ハッシュ計算機 を 使っても 良いです。しかし、Criminal IP はファビコン ハッシュ アルゴリズム 16 進数を 使っていて、上のファビコン ハッシュ 計算機として 確認された 10 進数の 値を 16 進数へ 変換した後、検索しなければなりません。例えば、ルータの 提供会社 MikroTik のファビコン ハッシュを 検索してみると、MikroTic RouterOS の管理者ページが 全て 409,882 件が 照会されます。
ファビコン検索で特定のIPアドレス探し
Criminal IP IT資産検索ではファビコンが適用されたウェブサイトのIPアドレスを照会するために、favicon フィルターの後にファビコンハッシュを入力します。特定の ファビコン ハッシュを 計算するには 多様な手法が あります。Python コード を活用したり、無料で 提供される ファビコン ハッシュ計算機 を 使っても 良いです。しかし、Criminal IP はファビコン ハッシュ アルゴリズム 16 進数を 使っていて、上のファビコン ハッシュ 計算機として 確認された 10 進数の 値を 16 進数へ 変換した後、検索しなければなりません。例えば、ルータの 提供会社 MikroTik のファビコン ハッシュを 検索してみると、MikroTic RouterOS の管理者ページが 全て 409,882 件が 照会されます。
favicon: 72b36155
Criminal IP のファビコンハッシュ検索で見つけたMikroTikルータのデバイスIPアドレス
照会された MikroTik RouterOS 検索結果の中であるウェブサイトへアクセスすると、実際 MikroTikルータのOSページへアクセスることになります。
ファビコン検索で見つけた MikroTik ルータOSデバイスの管理者ページ
また、Criminal IP を活用したファビコン検索は偽造されたフィッシング ドメインを見つけ出すことができます。
ファビコン ハッシュ検索で偽造されたフィッシング ドメイン探し
また、Criminal IP を活用したファビコン検索は偽造されたフィッシング ドメインを見つけ出すことができます。
[Criminal IP Youtube - ファビコン ハッシュで偽造された PayPal ログイン ページを見つける方法]
Paypal のファビコン ハッシュ値をアセット検索にファビコン フィルターで入力すると、Paypal ファビコンが適用された全ての IP アドレスを照会できます。
照会された全ての IPアドレスに連結されたウェブサイトの中には実際のPayPalウェブサイトと偽造されたウェブサイトが混在されています。検索範囲を絞るため、追加のフィルターを使ってPayPal が所有していないIPアドレスを外せます。AS_Name除外フィルターを使って "-as_name:PayPal, Inc." クエリーを追加すると AS_Name が PayPal, Inc. ではない IP アドレスのみを選別できます。
検索された IP アドレスの中で、あるウェブサイトを確認したところ、実際の Paypal ログインページに似たフィッシング サイトが発見されました。実際の PayPal のログインページに似た形で偽造するため、ファビコンとタイトル、UI を作り出した様子です。しかし、ログイン機能以外、言語の変更、クッキーポリシーなどのボタンは比活性されていて、何よりも SSL 認証ができないため、ウェブサイトの警告が表れています。
favicon: 126b479d
Criminal IP で検索したPayPal のファビコンハッシュの検索結果
照会された全ての IPアドレスに連結されたウェブサイトの中には実際のPayPalウェブサイトと偽造されたウェブサイトが混在されています。検索範囲を絞るため、追加のフィルターを使ってPayPal が所有していないIPアドレスを外せます。AS_Name除外フィルターを使って "-as_name:PayPal, Inc." クエリーを追加すると AS_Name が PayPal, Inc. ではない IP アドレスのみを選別できます。
favicon: 126b479d -as_name: PayPal, Inc.
PayPal ファビコンが適用された IP アドレスの中で、
PayPal, Inc. が所有していないIP アドレスのみを検索
検索された IP アドレスの中で、あるウェブサイトを確認したところ、実際の Paypal ログインページに似たフィッシング サイトが発見されました。実際の PayPal のログインページに似た形で偽造するため、ファビコンとタイトル、UI を作り出した様子です。しかし、ログイン機能以外、言語の変更、クッキーポリシーなどのボタンは比活性されていて、何よりも SSL 認証ができないため、ウェブサイトの警告が表れています。
favicon フィルター検索で見つけた PayPal の偽造されたログインページ
その他にも CIP Blog レポートでは ファビコン フィルター検索を応用し、攻撃対象領域に漏洩された HFS HTTP File Server を検索する方法を紹介したことがありまして、そのレポートをご参考にするのもおすすめです。
データの提供
実際のPaypalログインページ、偽造されたPayPalログインページとは違う
その他にも CIP Blog レポートでは ファビコン フィルター検索を応用し、攻撃対象領域に漏洩された HFS HTTP File Server を検索する方法を紹介したことがありまして、そのレポートをご参考にするのもおすすめです。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja