自社を騙る偽サイト発生時の対応について

公開日:2020年 5月20日
最終更新日:2020年 5月20日

昨今、フィッシング攻撃の件数や被害は右肩上がりになっており、自社・自組織を騙る偽サイトが作成されるケースは少なくありません。5月中旬頃にも政府や自治体等から注意喚起が出された通り偽サイトが多数発生する事案が発生しました。

本記事の前半では同事案を中心として概要解説を行い、本記事後半では偽サイトへの対策として、自社ユーザが不正サイトへアクセスすることを防ぐ方法と、Webサイト管理者向けに自社サイトを騙るサイトを調査する方法を記載いたします。

偽サイト発生事案についての解説

政府や報道機関等からも注意喚起が出されていますが、省庁や自治体、民間企業等のサイトをコピーしたような偽サイトが多数発生したことが確認されました。弊社の調査では2020年2月~5月頃に発生し、国内外の約1,000以上のサイトのコピーが行われていた可能性を確認しています。

今回観測した偽サイトについては、URLのTLD(トップレベルドメイン)に、海外のサービスにおいて無料で取得可能なドメイン .gq/.cf/.tk/.ga/.ml が利用されていました。

偽サイト発生事案についての解説

偽サイトは、ある時点の正規のサイトのコンテンツをそのままコピーしたのではなく、利用者が偽サイトのURLにアクセスしたタイミングで、犯人の用意したサーバがリバースプロキシのような形で正規サイトへ代理アクセスし、コンテンツを取得後、HTML内のリンクなど一部コンテンツを変更し、利用者へ応答していたものと思われます。

偽サイト発生事案についての解説

偽サイトが作成された理由や目的などは不明で、実被害が確認されないまま、2020年5月20日現在は多くの偽サイトが閉鎖されています。しかしながら、今後、再発した場合はマルウェアの配送やフィッシングサイトとして利用される可能性があり、注意が必要です。

なお、今回の事案では様々な組織や企業を騙る偽サイトが多数発生し、社会的にも大きな注目を浴びることとなりました。しかしながら、より明確な悪意を持って作成される偽サイトは、今回に限らず定常的に発生している状況です。

その際、攻撃者はターゲットとなる利用者層を入念に検討し、その時節に合う形で偽サイトキャンペーンを仕掛けて来るケースが少なくありません。最近であれば、新型コロナウィルス関連の情報を案内する機関を騙りフィッシングメール、フィッシングサイトを作成するケースが多数確認されていますし、またクリスマスの時期にショッピングサイトを騙り作成するようなケースがしばしば見られます。

特に、5月の大量発生事案でも悪用された特定 TLD.gq/.cf/.tk/.ga/.ml については、従来よりマルウェアのC&C通信で利用されたり、偽ショッピングサイトのドメインで利用される等、サイバー攻撃の温床となるケースが確認されていました。

次項では偽サイト発生時の対策として、自社ユーザが不正サイトへアクセスすることを防ぐ方法と、Webサイト管理者向けに自社サイトを騙るサイトを調査する方法を記載いたします。

偽サイト発生時の対策について

自社ユーザによる不正サイトへのアクセスを防ぐ方法

偽サイト発生時の対策について

今回、5月の大量発生事案で悪用された特定TLD .gq/.cf/.tk/.ga/.ml については、前述の通り様々なサイバー攻撃で利用されるケースが観測されていました。そのため、自社ネットワークから上記のようなTLDを持つサイトやURLへの通信を遮断することは、セキュリティレベルの向上を考える際の一つの対策となり得ると弊社では考えています。

今回を機にSymantec Proxy SG/McAfee Web GatewayなどのProxy製品にてTLDを指定しアクセス制限を行うこともご検討ください。次項にて同製品での設定方法を記載します。

特定TLDについてアクセス制御を行う方法

Symantec Proxy SG

Visual Policy ManagerのWeb Access Layerにて、Destinationの設定でRequest URL Objectを選択し、Advanced Match>Host:にTLDを正規表現で指定することで、指定したTLDを使用している宛先へのWeb通信についてはブロック可能です。

(例).*(\.gq|\.cf|\.tk|\.ga|\.ml)$

Symantec Proxy SG

上記のようにDestinationを設定後、Actionで[Force Deny]を設定します。

Symantec Proxy SG

McAfee Web Gateway

URLフィルターのルール内のブロックリストにTLDを正規表現で指定することで、指定したTLDを使用している宛先へのWeb通信についてはブロック可能です。

(例)regex(.*(\.gq|\.cf|\.tk|\.ga|\.ml)$)

McAfee Web Gateway
McAfee Web Gateway

なお、デフォルトでは、ブロックリストのマッチング方法として「URLプロパティ」が設定されています。「URLプロパティ」はURLの文字列全てをチェックしますので、ドメイン部分のみをチェック対象とする「URL.Hostプロパティ」に変更いただく必要がございます。ブロックルールを選択し、[Edit]ボタンをクリックし、Step2のRule Criteriaにて、プロパティを[URL]から[URL.Host]に変更してください。

McAfee Web Gateway

Webサイト管理者向け:自社サイトを騙るサイトを調査する方法

前半の解説で記載したとおり、偽サイトは日々発生している状況です。自社の偽サイトが発生した場合、その企業や組織のブランド価値が損なわれる恐れがあります。また、利用者への周知や被害者への対応、偽サイトが設置されたサーバ事業者/ドメインレジストラ等へ連絡等が必要になるケースがあるため、可能な限り早く偽サイトの発生確認と対応を行うことが望ましいです。

今回は、自社の偽サイト発生状況について、Googleを利用して無償で調査する方法と、弊社取扱製品であるRiskIQを利用して調査する方法をご案内いたします。

Google検索で偽サイトを探す方法

自社サイトのみで利用されているキーワードと、自社サイトで利用されていないはずのドメインを組み合わせて検索を行うことで、第三者により作成された偽サイトを抽出できる場合があります。

一例として、5月の偽サイト大量発生事案で利用された特定TLDと自社キーワードで検索する場合は以下のような検索文となります。

検索キーワード AND (site:.tk OR site:.ml OR site:.ga OR site:.cf OR site:.gq)

Google検索で偽サイトを探す方法

更に、以下検索文のように、自社の正規ドメインで利用されていないTLDを追加して行けば、より広範囲に偽サイトを抽出できる可能性があります。

"マクニカネットワークス" AND "会社概要" AND (site:.gq OR site:.tk OR site:.cf OR site:.ml OR site:.ga OR site:.mem OR site:.fun OR site:.review OR site:.data OR site:.zip OR site:.country OR site:.kim OR site:.cricket OR site:.science OR site:.xyz)

なお、この方法であれば無償で調査を実施できますが、自社運営でもなく悪性でもないサイトが検索にヒットする可能性があります。例えば、以下 のように検索した場合は”マクニカネットワークス”というキーワードを含む特定ドメインのサイトがヒットします。

マクニカネットワークス AND (site:.tk OR site:.ml OR site:.ga OR site:.cf OR site:.gq)

そのため、自社運営以外の各種メディア(ニュースサイト等)がコピーされていた場合でも、そのサイトがヒットする可能性もあるため、検索結果の個別確認が必要となります。その際、検索でヒットしたサイトが不正サイトの可能性もあるため、閲覧する場合は検証用環境からアクセスする等してください。

また、当然ながら自動的な調査は行われないため、定期的な検索・調査が必要となる点や、そもそも検索エンジンによるインデックス化が行われていない偽サイトについては調査が難しいため、その点でも注意が必要です。

RiskIQを利用して偽サイトを探す方法

弊社取扱製品であるRiskIQを利用した場合、企業や組織を騙るフィッシングサイト発生を自動的に監視し、検出後に管理者へ通知することが可能です。

これは、RiskIQにあらかじめ自社サイトを自動クロールさせ構成情報を登録しておくとともに、世界中のサイトをRiskIQが日々自動でクロールしているため、自社サイトと類似のページを発見することが可能なためです。

また、偽サイト以外にも以下のようなインターネット上の企業の信頼やブランド価値を損なう脅威を検出することが可能です。

  • 自社正規ドメインに似たドメインの取得(TLD違いやタイポドメイン等)
  • 自社を騙る偽アプリの発生
  • SNS上の偽アカウント登録( 偽公式アカウントや偽CEOアカウント等)

該当のイベントを検知した際には、管理者へメールでアラートを送ります。RiskIQが自動取得した実ページのスクリーンショットなどの詳細をコンソール画面から安全に確認することが可能です。

偽サイト・ドメインのテイクダウンのメール送信についても製品上から実施する事が可能で、対応履歴含め管理する事が出来ます。またブラウザベンダへのブラックリスト通報の機能を備えている事により、ドメイン登録事業者のテイクダウンが無視されたり、即座に応じられないような場合においても、ユーザ被害を最小限にとどめる事に寄与できる場合があります。

次項では偽サイトが確認された場合の対応例を記載します。

Webサイト管理者向け:自社サイトを騙るサイト発見時の対応例

前述の方法や第三者からの通報により自社の偽サイトを発見した場合は、ブランド毀損や実被害の発生を食い止めるためにも迅速にサイト利用者への周知や、偽サイトの閉鎖に向けたテイクダウンを実施する必要があります。

利用ユーザへの周知を行う

様々な官公庁、eコマースなどのサイトにてすでに実施されています。これらを参考に利用ユーザの予期せぬ被害を抑制するために、偽サイトの周知を行うことをおすすめします。

テイクダウンの手続きについて

以下に手順概要を記載しますので手続きの参考としてください。

手順1:偽サイトで利用されているドメインのレジストラとその苦情窓口(abuse)を探す
偽サイトで利用されているドメインをWhoisで検索すると"Registrar Abuse Contact Email"というような項目に苦情の連絡先メールアドレスが登録されていますので、まずそちらを特定します。
Whoisの情報から連絡先を確認できない場合は、Googleにて”ドメインレジストラ名 Abuse contact"という様な形で検索を行うとWebフォームが公開されているケースもあります。
手順2:偽サイトが稼働しているサーバのホスティング業者とその苦情窓口(abuse)を探す
偽サイトで利用されているドメインを正引きしてサーバのIPアドレスを特定後、更に当該IPアドレスをWhoisで検索すると、"OrgAbuseEmail"というような項目に苦情の連絡先メールアドレスが登録されていますので、そちらを特定します。
Whoisの情報から連絡先が確認できない場合は、Googleにて”ホスティング事業者名 Abuse contact"というようなかたちで検索をおこなうとWebフォームが公開されているケースもあります。
手順3: 苦情窓口に連絡・交渉を行う
手順1と手順2で特定した連絡先のそれぞれに「自社ブランドを不許可で利用されているため、テイクダウン(廃止)希望」という内容の苦情を申し立てます。その後は各業者との個別の調整・交渉が発生します。
事業者によっては対応が悪く、手続きや確認が進みにくいケースもありますが、被害発生の懸念等を伝えることで前に進むケースがありますので諦めずに催促を行ってください。
また、苦情申し立ての際に、事業者によっては自社ブランドが悪用されていることの証拠の提出が求められるケースや、実被害発生前ではテイクダウンがスムーズに行われないケースがあります。いずれの場合でも交渉により対応が前に進むこともありますので、諦めずに交渉を実施してください。

最後に

繰り返しとはなりますが、企業や組織を第三者が不正に騙るサイトは日々発生している状況で、今後もその発生ペースは増していくと考えられます。

そのため、今後も継続的に不正サイトから組織・社員を守る取り組みと、自社サイトの利用者を保護するためにも、定常的に偽サイトの発生状況を監視し、迅速に対応を行うことが望ましいと考えます。