ホスピタリティ業界へのフィッシングキャンペーンの詳細分析で明らかになった世界的な脅威
編集・協力:Tricia Howard
エグゼクティブサマリー
Akamai の調査担当者は、ホスピタリティ業界のサイトとその顧客を標的とした巧妙で活発なフィッシングキャンペーンを継続的に調査しています。
このキャンペーンは世界的な脅威であり、スイス、香港、カナダでは著しい量の DNS トラフィックが発生しています。また、イタリア、アルゼンチン、シンガポールでも、クエリーが大量に発生しています。
当初、このキャンペーンは、2023 年 9 月以降に活発になっていたと考えられていましたが、ドメインの登録状況を見てみると、2023 年 6 月時点でドメイン名が登録され、クエリーが実行されていました。
はじめに
長年にわたり認識され、検討されてきたにもかかわらず、 フィッシング は依然として、組織にとっても個人にとってもサイバー脅威のトップとなっています。それらのキャンペーンの特徴となっている複雑化の進行、および一点集中型の標的の絞り方は驚異的です。このような特徴は、 ホリデーシーズンのプレゼント詐欺の背後にあるインフラ、 暗号資産プレゼント詐欺、および ホスピタリティ業界固有のキャンペーン (2023 年 9 月に 検知 )で見られました。
このホスピタリティ業界に対するキャンペーンの当初の分析を第 2 レベルまで進めたところ、さらに深く掘り下げる必要があることが明らかになりました。
オンラインの状況に関する当社独自の見解
Akamai は DNS クエリーのトラフィックが、世界中の多くの国で非常に大きな規模で発生していることを確認しています。Akamai DNS リゾルバーを導入している顧客の多くは、匿名化されたログを当社と共有することを選択しています。このログに基づいて、当社は脅威の調査と分析を行い、エンドユーザーを保護する対策を講じることができます。このようにオンラインの状況に対して独自の見解を持つことで、このフィッシングキャンペーンをより深く理解するための基盤が得られます。
このブログ記事では、さらに一歩踏み込んで、キャンペーンの一部であることが判明した IOC に関連する DNS クエリー、トラフィック、および完全修飾ドメイン名(FQDN)を調査することにします。
ドメイン名のグループ
データの詳細な分析は、当社の堅牢な内部 FQDN 統計表から始まります。この表は、当社のチームが DNS トラフィックで観測されたそれぞれの FQDN を一覧にまとめたものです。この表は、タイムスタンプ情報やその他のメタデータなど、FQDN に関するコンテキスト情報も提供します。これにより、当社がこのキャンペーンを分析したときと同様に、具体的な事項にまで掘り下げ、分析の深さと精度を向上させることができます。
パターンの発見
まず、脅威の調査担当者が発見した最初の IP アドレス、91.215.40[.]30 を手掛かりに分析を始めます。私たちは、この IP アドレスが ASN AS57724 に属しており、その発信源がロシアであるらしいことを突き止めました。
このキャンペーンは 2023 年 9 月初旬から活発に動いていることがわかっているため、まず、過去数か月間に 91.215.40[.]30 に解決された FQDN を絞り込み、表にします(表 1)。
FQDN |
グループ |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
ダッシュ付き |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
ダッシュ付き |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
ダッシュ付き |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
表:1:91.215.40[.]30 に解決された FQDN のサンプル
これらの FQDN の中には、よく使われている コンボスクワッティング 手法に従っているものもあり、たとえば、キーワード「reservation」を追加しているものもあります。また、「wakkofkznmartyxa3244」のように、人間にとって無意味なものもあります。
表 1 に示すように、FQDN には見てすぐにわかる明確なパターンがあります。こうして見ると、コンボスクワッティング手法に基づいて FQDN をグループ分けすることも、(意味不明なものの場合は)FQDN のテキストのサンプルに基づいて FQDN をグループ分けすることもできます。私たちは、wakk、ダッシュ付き、.id、.com-id、.com.id という 5 つのグループに分けました。
パターンの使用
グループに分けたら、さらに分析するために正規表現パターンを作成します。これにより、データをフィルタリングし、グループごとの統計情報を集計することができました。そして、グループ内のドメインの WHOIS データも組み合わせました(表 2)。
グループ |
グループの大きさ |
使用頻度 |
最初の登録日 |
最初の検出日 |
最終検出日 |
サブドメインの例 |
ドメインの例 |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
2023 年 6 月 14 日 |
2023 年 6 月 15 日 |
調査継続中 |
service10. |
wakkofkznmartyxa3244[.]site |
ダッシュ付き |
10 以上 |
1x |
2023 年 7 月 16 日 |
2023 年 7 月 18 日 |
2023 年 9 月 3 日 |
booking. |
reservation-accept[.]info |
.id |
10 以上 |
1x |
2023 年 8 月 17 日 |
2023 年 8 月 18 日 |
調査継続中 |
booking. |
id11853502[.]date |
.com-id |
10 以上 |
1x |
2023 年 9 月 6 日 |
2023 年 9 月 7 日 |
調査継続中 |
avito.sber. |
com-id02349[.]info |
.com.id |
10 以上 |
1x |
2023 年 9 月 6 日 |
2023 年 9 月 8 日 |
調査継続中 |
booking.com. |
id60157261[.]date |
表 2:FQDN グループ別の集計情報
表 2 を理解できるように、それぞれの列の意味について説明します。
グループの大きさ:それぞれのグループに分類されたドメイン名の数。各グループ(「wakk」グループを除く)には、よく似ていて、同じパターンに属する数十のドメイン名が含まれています
使用頻度:これらの各グループから参照されている相対クエリーの数
最初の登録日:そのグループに属するすべてのドメインの中で最も古い登録日(WHOIS データに基づく)
最初の検出日:そのグループ内の任意のドメインに対する最初の DNS クエリーが確認された日付(内部的な DNS クエリーログに基づく)。 各ドメインが最初に登録されてからわずか 1 日か 2 日後に、当社は DNS クエリーを検知しました
最終検出日:DNS トラフィックにそのグループが最後に現れた日付
サブドメインの例:クエリーが実行された、グループ内のサブドメインの例
ドメインの例:グループに属する単一のランダムなドメイン名
データが示すもの
各ドメインが最初に登録されてからわずか 1 日か 2 日後に、当社は DNS クエリーを検知しました。最初に観測されたのは、2023 年 6 月に登録された「wakk」グループです。
「wakk」ドメインは、DNS クエリーの数が圧倒的に多く、 他の 4 つのグループを合計した数の約 2.5 倍に上ります。この大きな違いは、リダイレクトに使用されている可能性と、何らかのハブとして使用されている可能性があることを示唆しています。
このキャンペーンの標的が多層的な構造(最初はホテル、2 番目はそのホテルの宿泊客)になっていることを考えると、このブログ記事の公開の時点で、 他のグループが依然として活発 に動いているため、「ダッシュ付き」グループを除き、4 つすべてを見るのは困難です。このグループの登録日は最も早いものでしたが、2023 年 9 月 3 日にはこのグループへのクエリーが見られなくなりました。
発見される可能性が高いグループを段階的に廃止
このデータから、当初は「ダッシュ付き」のグループが使用されていましたが、攻撃者はこのグループを段階的に廃止し、残りの 3 つのグループを継続させることにしたと推測されます。「ダッシュ付き」グループへのトラフィックが 9 月 3 日になくなり、.com-id グループと .com.id のドメイン名の最も早い登録日が 9 月 6 日であったことから、この推測の信憑性は高いと考えられます。「ダッシュ付き」グループは、最も「伝統的」な詐欺ドメイン構成であったため、脅威ハンターなどに発見される可能性が高くなっていたと考えられます。
このグループの活動が停止している一方で、.id、.com-id、および .com.id グループを通じたクエリーが送信され続けています。
「ダッシュ付き」グループは現在、以下の単語のうち 2 つか 3 つをダッシュで結び、.com、.date、.info、.cloud、および .site を付けた TLD を使用しています。
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
他の 3 つのグループは、以下の正規表現パターンを FQDN に適用すれば大まかに検出することができます。また、IP アドレス範囲で結果をさらにフィルタリングすることも可能です。
- .id グループ
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ .com-id グループ
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- .com.id グループ
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
他の IP アドレスへの広がり
上記の分析では、91.215.40[.]30 に解決される FQDN という具体的な例を取り上げました。しかし、このキャンペーンを構成する IP アドレスが(可能性は低いとしても)増える可能性があります。さまざまなグループを捕捉できるように作成した正規表現パターンを使用して、未加工の FQDN 統計テーブルを照会し、他の IP が含まれているかどうかを確認したところ、
同じグループの中に、91.215.40[.]22に解決されるものが見つかりました。これは、91.215.40[.]30と同じ ASN の一部です。この IP アドレスが 最初の記事に掲載された IOC リストに盛り込まれたのは、この分析が発端です。
世界的な脅威
地域別に見ると、大部分を占めているのは スイス、香港、カナダから発信される DNS トラフィックです。 また、イタリア、アルゼンチン、シンガポールでも、クエリーが大量に発生しています。 このフィッシングキャンペーンが世界を対象にしているという性質は、このような詐欺を構成する精巧なインフラが存在することを示しています。また、特定の国や地域をターゲットにしていないため、このキャンペーンを追跡するのが難しいという側面もあります。
地理的に特定可能な DNS トラフィックは存在しますが、.ru などの国コードのトップ・レベル・ドメイン(TLD)は確認できません。.com、.top、.date、.email、info、.site、および .cloud などの一般的な TLD のみが観測されました。
サブドメインレベルでは、さまざまなブランド名が不適切な方法で使用されています。ブランドの TLD には以下のようなものもありました。
TLD が第 1 レベルのサブドメイン。例:booking.com.id60157261[.]date
TLD がドメイン名の先頭部分。例:booking.com-id2435142[.]info
TLD が欠落。例:booking.id17825117[.]date
この 3 つの方式をまとめると、 レベルスクワッティング と コンボスクワッティング の組み合わせと見ることができます。
booking.com に加えて、avito、sber、sberbank、yandex など、ロシアでよく見られるブランドが多数あります。これは興味深いことです。というのも、このようなロシアの一般的なブランドを使用することは、そのまま素直に解釈したとすると、このキャンペーンがロシアのユーザーをターゲットにしている場合にのみ意味を成すことになりますが、これこそ攻撃者が私たちを騙そうとする手段なのです。
WHOIS 分析
見つかったグループのドメイン名の WHOIS データを見てみましょう。
ドメインの大部分が NameSilo を レジストラとしていることがわかりましたこれらのドメインの WHOIS データに記載されている最も一般的な 連絡先 は PrivacyGuardian です。PrivacyGuardian は NameSilo の一部です。攻撃者は NameSilo を介してこれらのドメイン名を登録し、PrivacyGuardian 機能を使用してアイデンティティを秘匿しているようです。
また、他のレジストラを介して登録されたドメイン名も見つかりました。察しが付くと思いますが、これらのドメイン名のうち、WHOIS の連絡先の詳細は空か、またはランダムな名前のものがほとんどです。
さらに、各グループで検出したものの中には、DNS クエリーを受信しているものの、(WHOIS データによると) 実際には登録されていないものもありました。ホテルの従業員のデバイスにインストールされているマルウェアは、コマンド & コントロールアドレスにアクセスしようとすると同時に、接続が確立されるまでさまざまなドメインにアクセスしようとしているようです。
結論
DNS データと WHOIS データのみを使用して分析しましたが、現在、活発な動きを見せているフィッシングキャンペーンに関する概要レベルの知見を得ることができました。このキャンペーンは世界的な展開を見せており、現在、7 つの TLD にまたがる 5 つのドメイン名グループが関係しているものと思われます。私たちは、これらのグループの捕捉に使用できるパターンを特定しました。これらのパターンにより、このキャンペーンには現在、2 つの IP アドレスが関係していることを確認することができました(91.215.40[.]30 と 91.215.40[.]22)。
このキャンペーンの詐欺手口の一部には、レベルスクワッティングやコンボスクワッティングなどのサイバースクワッティング手法が使用されていることが明らかになりました。また、このキャンペーンでは、ロシアの多くのブランドを使用することで、攻撃者がロシアのユーザーのみをターゲットにしているように見せかけようとしている可能性があることもわかりました。
今後の情報提供
セキュリティに関する最新の調査結果をリアルタイムで確認するためには、 Twitterで Akamai をフォローしてください。
