フィッシングページのライフサイクル

フィッシングページはどのくらいの期間、存続するのでしょうか。Kasperskyのリサーチャーが調査しました。

フィッシングページの存続期間は、どれくらいなのでしょうか。長期にわたって誰かがやってくるのを待ち続けているのか、それとも、短期間で人を集めようとしているのでしょうか。Kasperskyのリサーチャーは、自社のアンチフィッシングエンジンが特定したフィッシングリンクを対象に、フィッシングページの活動について調査を実施しました。その結果、フィッシングページの約3分の1が1日で消滅していることが分かりました。

フィッシングページの寿命

調査の対象となったのは、2021年7月19日〜8月2日の間に当社のアンチフィッシングエンジンが特定した、フィッシングページへのリンク5,307件です。これらフィッシングリンクのうち1,784件は、監視の開始から1日が経過したころには機能停止していました。

機能停止したフィッシングリンクの件数(日単位)

機能停止したフィッシングリンクの件数(日単位)

時間単位で見た場合、最初の数時間で大量のフィッシングページが機能停止していました。監視を開始してから13時間後には早くも全体の4分の1が機能停止し、94時間を越えて存続したページは半数程度でした。

ホスティングサービスを利用したフィッシングページは、それ以外に比べて短命である傾向にありました。おそらくは、ホスティングサービスの無料試用期間を利用しているためと考えられます。

作成されたフィッシングページは、時間が経つほど、より多くのアンチフィッシングデータベースに登録されます。別の言い方をすれば、被害者予備軍がそのサイトにアクセスする機会は、時間が経つにつれ減少するということです。したがって、フィッシング詐欺師は、そのページがまだアクティブな状態である最初の数時間のうちにリンクをメールでばらまき、できるだけ多くの被害者予備軍を作ろうとします。

フィッシングページの変化

ほとんどのフィッシングページは、アクティブな期間中に変更されることはありませんが、変更が加えられる可能性もあります。例えば、なりすます組織を別のものに変える、フィッシングページがアンチフィッシングエンジンによってブロックされるのを防ぐためにサイトのコードに変更を加える、というパターンが考えられます。今回の調査では、なりすます組織の変更は観測されませんでした。なりすます組織のブランド名に似せた言葉(例:amaz0n)をURLに使用することがよくあるので、変更は容易ではないものと考えられます。既存のページを変更するよりも、むしろ新しいフィッシングページを作成する方が簡単です。

今回の調査では、調査対象の90%以上で変化が見られませんでした。少ないながら観測されたWebサイトのコンテンツ変更のうち、大きな比率を占めたのは、人気オンラインゲーム『PUBG』の「クレート(ガチャ)」のページを模倣したフィッシングページでした。『PUBG』は頻繁にシーズンやクレートを実施するので、フィッシング詐欺師もシーズンに合わせてフィッシングページの内容を変更しているようです。

偽のガチャページに入力した個人情報は詐欺師の手にわたってしまう

偽のガチャページに入力した個人情報は詐欺師の手にわたってしまう

フィッシング対策

このような調査は、アンチフィッシングデータベースを更新する上で役立つだけでなく、インシデント対応においても有益です。例えば、ある会社がフィッシングメールによる攻撃を受けているとすると、会社としては、フィッシングページが生きていてフィッシングの被害が出やすい初期段階のうちにフィッシングメールを弾く対応を取ることが重要です。一般ユーザー向けには、メールに記載されたリンクが怪しいと感じたら、とにかく何もしないことをお勧めします。数時間もすれば、この怪しいリンクがアンチフィッシングデータベースに登録される可能性が高く、また、フィッシングページ自体も活動を停止する可能性が高くなります。

調査の手法、またフィッシングページに関するライフサイクル以外の発見事項については、Secureistの記事(英語)をご覧ください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?