12月はクリスマス、1月はお正月、2月のバレンタインデーに3月のホワイトデー。
ショッピングシーズンがやってきます。
最近では、選択肢も多く営業時間に拘束されることも無く、しかも玄関先まで持ってきてくれるオンラインショッピングで日々のお買い物をすることが増えている人も多いのではないでしょうか。
そこに目をつけているのは、お店側だけではありません。サイバー犯罪者も目をつけ、あなたのクレジットカード情報や住所、アカウント情報などの個人情報を狙っています。
どのように対策すれば良いでしょうか?
オリジナルの記事はThreatSTOP社Francis Turner氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/what-you-need-to-know-about-holiday-shopping-
オンラインショッピングと偽サイト
ホリデイシーズンが近づいています。多くの人が、オンラインショッピングを利用しているのではないでしょうか。クリスマスまでもう日が無い中、バーゲンへの情熱は店側、客側、共に急激に高まっています。
しかし、稼ごうと準備をしているのはお店だけではありません。サイバー犯罪者も同様です。
有名なセキュリティリサーチャーのBrian Krebs氏がRiskIQが言う “ウェブ カード スキミング”について面白い記事を書いています。
- データを吸い取るスクリプトが、Webサイトに隠されていることが増えている。これらの詐欺に使われるドメインは、カスタムメイドのもので、CDNやWebベースのスクリプトに関係あるように見せようとし、“jquery”や“bootstrap”、“js”などの文字が含まれている。
- 多くの場合、データを盗みとるスクリプトをホストするために作られた悪意のあるドメインは、ドッペルゲンガーのように、別のWebサイトの名前をまねしている。例えば、オンラインショッピングサイト“bargainjunkie-dot-com”のソースコードをチェックしてみる。下の方に、悪意あるスクリプトを、ドメイン名“bargalnjunkie-dot-com,”から引っ張ってきていることがわかる。Bargainのiが小文字のlに変えられているのだ。
この記事の中で、彼はIPアドレス46[.]161[.]40[.]49が、“bargalnjunkie-dot-com.”を含む、ミスタイプのようなJavaScriptのインジェンクションサイトを大量にホストしていると指摘しています。
ThreatSTOP社としても、複数のマルウェアドメインをホストしているIPアドレスには常に興味を持っています。調査をしていてよくあるのが、このIPアドレスだけでなく近隣のIPアドレスもまた攻撃に使われている、ということです。そのため、私達は常に前後のIPアドレスも調査しています。
調査してみるとやはり、46[.]161[.]40[.]49の周辺にはある意味興味深いIPアドレスがありました。このIPアドレスは、AS 58271に所属しています。Ankas Groupと呼ばれるモルドバのグループです。(モルドバ、ロシア、ウクライナのいずれかにホストされています)。IPアドレスの地理情報提供元は同意しておらず、私も確信を持っているわけではありませんが、この/24のIPアドレスブロックは長年、たくさんの詐欺に利用されています。
たまたま、周辺のIPアドレスには他にも大量に、面白いドメインが連なっていました。ThreatSTOPは46[.]161[.]40[.]11がブラウザ上でクリプトマイニングをしていること、更に46[.]161[.]40[.]61が怪しい動きをしていることを突き止めました。
特に興味深いのが、46[.]161[.]40[.]114です。以下で記載したものをはじめとした、沢山のドメインのネームサーバーになっています。
- qsxjs.com
- listrakb.com
- mdelivry.com
- oklahomjs.com
- samexsame.com
- sucuri-js.com
- samescripts.com
- scriptsform.com
- validatorcc.com
- afterscripts.com
- sucuri-cloud.com
- beforescripts.com
- minifyscripts.com
- alabamascripts.com
- secury-checkout.com
- braintreepauments.com
注意:sucuriをWebサイトの保護に利用している方は、本物のsecuriドメインから来ているもので、sucuri-cloud.com や sucuri-js.comなど上記のIPアドレスに関するドメインでないか、確認してください。
では、オンラインショッピングを利用する一般ユーザは訪問先のWebサイトに含まれているJavaScriptが本物のものか、悪意あるホスティングプロバイダによって提供されているものなのか、どう見分ければよいのでしょうか?
正体を見分けるポイントはホスティングプロバイダがウクライナにあるかどうかです。モルドバやロシアもかなりの確立で怪しいですね。正規のホストとしては、かなり考えにくい場所です。これは人間が判断するのは簡単なことではありませんが、正しい情報を持っているDNSサーバ、ファイアウォールなどであれば簡単なことです。
参考記事:DNSサーバのリプレースで実現するDNS Firewall
ThreatSTOPの利点の1つが、IPアドレスの地理情報を利用して、地域全体をとても簡単にブロックできることです。例えば、通信を行なう理由が無いのなら、東ヨーロッパやナイジェリア、中国などサイバー攻撃の主な発信地とのトラフックを全てブロックすることも有効です。こうしてしまえば、ユーザがうっかり攻撃を踏んでしまっても、通信は発生せず、被害発生を未然に防ぐことが出来ます。
最後に、ThreatSTOPユーザの皆様。
ご安心ください。今回の調査で判明したIPアドレスとドメインは全て複数の該当するカテゴリに、既に追加しています。
脅威インテリジェンスの専門ベンダー ThreatSTOP
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。
米軍やイスラエル軍の出身者が多く、独自のルートを使用してインテリジェンスを収集、精査し、ファイアウォール、DNSへ最短15分間隔で配信し、攻撃の種類を問わず、既知の攻撃者との通信の可視化・ブロックを実現しています。
[RELATED_POSTS]
