Criminal IP ドメイン検索を利用する怪しいドメインの点検
過去から、攻撃者は有名サイトと同様のフィッシングサイトを作り、メール、SMS、掲示板などの手段で個人情報、金融情報を奪取する悪意のある手法を使てきました。
Verizonの‘21データ侵害調査報告書’によると、侵害の36%がフィッシングに関わっていると発表しました。すなわち、フィッシングの手法が侵害事故でどれだけの割合を占めているかを知らせる指標として使えます。
誰でも経験できる一般的なフィッシングの試みは次の例のようです。
- 有名または評判の良い会社に似た発信地の使用
- Webブラウザのアドレスバーに正常な署名ブロックがありません
- 誤った文法、文、スペルミス、一貫性のない形式の内容
- ファイルダウンロード、リンククリックなどを緊急、重要性という表現で強要する
AI Speraは、フィッシングサイトを分析し、正常か悪意のあるDomainかを判断して被害を最小限に抑えるCriminal IP(CIP)ドメイン検索を提供します。CIPを利用することで、セキュリティ担当者の技術や知識レベルに関係なく、フィッシングサイトを迅速かつ正確に分析できます。
セキュリティ担当者であれば、役員から下記のような異常メッセージを受信したという届を受けた経験があるはずです。
報告を受けた後に、これ以上ダメージが発生しないように、そのドメインをすばやくブロックし、詳細な分析でフォローアップする必要があります。
フィッシングサイトを含むメッセージ
ドメイン検索で疑わしいドメインを分析した結果、ドメインスコアリングがCriticalレベルであることが確認されました。
分析Summaryで、不審な長さを見ると、30以上の長さを持っていることが分かり、マルウェアの感染によく使われるiframeタグが存在することが確認できます。
また、Title、Favicon、スクリーンショット、Inserted、Redirect toの経路が通常のfacebookと異なることから見て、そのドメインは明らかなフィッシングサイトです。
AI Speraは、ドメイン検索を利用するセキュリティ担当者にフィッシングサイトの分析結果をより明確に理解させるため、Summary属性の説明を下表のように提供しています。
Criminal IP Domain Searchの検索結果
Facebookのフィッシングサイトと通常サイト
そして、多くのフィッシングサイトが通常の署名ブロックが適用されていないため、Webブラウザのアドレスバーに危険という警告フレーズを入れたり、ウェブブラウザの独自フィルタ機能によって詐欺サイト注意というメッセージを見せたりすることで、フィッシングサイトの危険性を知らせる場合が多いです。
会社がテスト目的で構築した任意のウェブサイトでない場合、以下のような内容を確認したら、フィッシングサイトと疑うべきです。
Facebookのフィッシングサイト
フィッシングサイトから被害を防止するためには、基本的に以下の内容を承知して行動する必要があります。
- 出所が明確ではないメッセージやリンクは、すぐ削除する
- 電子署名を確認できない、または、類似ドメイン及び発信情報を使用する場合はクリック禁止する
- モバイル、メールクライアント、Webブラウザが提供するすべてのフィッシング防止機能を使用する
- できる限りの全てのアカウントでマルチレベル認証を有効にする
- 客観的な分析結果を得て迅速に対応するために、Criminal IPのドメイン検索を使用する