日本の大学を狙うフィッシングキット

2019年7月18日

カスペルスキーが大学などの教育機関を狙ったフィッシングサイトについて報告したのは、2018年10月でした(英語記事)。教員や学生のIDやメールのパスワードを狙ったフィッシングサイトは、海外だけではなく日本の大学を装うものも見つかっており、カスペルスキーでは確認次第、速やかに検知できるよう当社のデータベースへ登録しています。

つい先日見つかった、日本の大学を装うフィッシングサイトが設置されたWebサーバーには、「フィッシングキット」(Phishing kit、Phish kit)と呼ばれるパッケージが残されていました。

フィッシングキットとは、サイバー犯罪者がフィッシングサイトを設置するために利用するファイルをまとめたアーカイブのことです。海外のフィッシングサイトの事例では、攻撃者がフィッシング攻撃に使うWebサーバーにフィッシングキットを展開後、アーカイブをそのまま放置していることがよくあります。今回は1つのWebサーバーに3つの日本の大学のフィッシングサイトが設置され、フィッシングキットが残っていました。

使い回されるフィッシングキット 「nagoya.zip」

見つかったフィッシングサイトの1つは、名古屋にある大学を標的としたものでした。

図1. 名古屋にある大学を標的としたフィッシングサイト

図1. 名古屋にある大学を標的としたフィッシングサイト

取得できたフィッシングキット「nagoya.zip」には「log.php」というファイルが含まれており、フィッシング詐欺被害者のメールアドレス、パスワード、IPアドレスや地理情報などを収集します。

さらに興味をひくのは、「Tsukuba Webmail」という文字列が見つかったことです。このフィッシングキットは当初他の大学を狙ったフィッシングサイトのために用意され、その後また別の大学を狙って使い回されていることが分かります。

図2. 「nagoya.zip」に含まれた「log.php」

図2. 「nagoya.zip」に含まれた「log.php」

この情報をもとに公開情報を調べたところ、筑波大学を装った、今もなおアクティブなフィッシングサイトが見つかりました。これは、図1の名古屋にある大学を狙ったフィッシングサイトと見た目や構成が酷似しています。

図3. 筑波大学を装ったフィッシングサイト

図3. 筑波大学を装ったフィッシングサイト

筑波大学の正規サイトでは、どのようなフィッシングメールが届いたのか、注意喚起としてフィッシングメールの文例が紹介されています。

筑波大学を狙ったフィッシングサイトは他にも見つかっており、攻撃者に送られる情報が記載されたファイルがありました。だまされてフィッシングサイトに情報を入力してしまったとみられる記載が10件以上見つかっています。心当たりのある方は、早急にパスワードをご変更ください。

フィッシングサイトからアクセス拒否される組織

フィッシングキットには他にも興味深い点があります。カスペルスキーのようなセキュリティ企業や世界的にフィッシング対策を行っているコミュニティであるPhishTank、セーフブラウザーやフィルタリングでユーザーの保護を行っているGoogleなどの企業がフィッシングサイトを見つけた場合、すぐ検知やブロックなどの対策を行います。攻撃者からすると、せっかく作ったフィッシングサイトがすぐに使えなくなるのは困るため、そういった組織からフィッシングサイトへのアクセスがあった場合、「404 Not Found」などのエラーメッセージを表示することで、検知の回避を試みます。

以下は「nagoya.zip」に含まれていた「block.php」を一部抜粋したものです。GoogleやAmazon AWS、PhishTankなどのキーワードを含む場合、もしくはある特定のIPアドレスからアクセスがあった場合、HTTPのステータスコード「404 Not Found」を返します。

カスペルスキーが収集したフィッシングキットのコレクションを確認したところ、このアクセス制限をするファイルは2014年12月から現在に至るまで多くのフィッシングキットで利用されていることが分かりました。

図4.「nagoya.zip」に含まれていた「block.php」の一部抜粋

図4.「nagoya.zip」に含まれていた「block.php」の一部抜粋

集めた情報の送信先 「fatima133777(at)gmail[.]com」

今回見つかったフィッシングキットのアーカイブすべてに、同一のメールドレスが含まれていました。フィッシング詐欺にだまされた人々のメールアドレスやパスワードなどの送り先となる、攻撃者が管理するメールアドレスです。

図5.「nagoya.zip」に含まれた「send.php」に記載されたメールアドレス

図5.「nagoya.zip」に含まれた「send.php」に記載されたメールアドレス

このメールアドレスについては、Proofpointのブログでも言及されています。

まとめ

フィッシングキットは、攻撃者がフィッシングサイトを簡単に構築できるようにするものです。大学を標的としたフィッシングキットが見つかったことで、今後もこういったフィッシングサイトが作成されることが予測されます。大学を標的としたフィッシングサイトから取得した情報を足掛かりとして、攻撃者がより機密性の高い研究成果や教職員の情報などを狙っていることが推察されます。

このようなフィッシングの被害に遭わないためには、以下の点にご注意ください。

  • メールの差出人を確認し、心当たりがない場合や不審に感じる場合はメールを無視する
  • Webサイトにアクセスする場合は、メールなどに記載されたリンクからアクセスするのではなく、正規のURLを入力するか、ブックマークからアクセスする
  • 信頼できるセキュリティ製品をインストールする

IPAより、大学を狙ったフィッシングメールについての注意喚起が出ていますので、こちらも参考になさってください。

大学におけるウェブメールサービスを狙ったフィッシングメールに注意 ~ フィッシングの基本の手口を知って、継続的な対策を ~