USPS をターゲットとするフィッシングキャンペーンの Web トラフィック量は USPS 自体の Web トラフィック量と同程度であることが明らかに
編集・協力:Tricia Howard
エグゼクティブサマリー
2023 年のホリデーシーズンの後、Akamai の研究者たちは米国郵便公社(USPS)に関連しているように見せかけている大量の悪性のアクティビティやドメインを発見しました。
Akamai の研究者たちは、5 か月間の正当なドメイン(usps[.]com)への DNS トラフィックと、コンボスクワッティングされたドメイン名への不正な DNS トラフィックを比較しました。
- この分析により、収集された悪性ドメインへの DNS クエリーの数は一般的に usps[.]com へのクエリーの数とほぼ同程度であり、ピーク時には上回ることもあることが明らかになりました。
概要
米国の主要な宅配機関の 1 つである USPS はかねてより、 フィッシング キャンペーンやスミッシングキャンペーンのターゲットにされることがよくありました。米国居住者はほぼ確実に、ホリデーシーズンに少なくとも 1 回は詐欺の試みに遭遇します。USPS は 専用の Web ページ でこのような詐欺について消費者に警告しており、少し Web 検索をすれば、 多くの例が見つかります。
Akamai のチームメンバーは最近、スマートフォンでこのような試みに遭いました(図 1)。至るところで行われているこのような詐欺の試みに遭遇したことがきっかけとなり、Akamai は USPS の Web サイトに関連して DNS レベルで現在何が起こっているのかを分析し始めました。これを行うために、 Akamai CacheServe DNS サーバーから発信された、匿名化されたグローバル DNS クエリーログにアクセスしました。
図 1:チームメンバーに送信された、USPS に関連するスミッシング試行
そして、驚きの事実が明らかになりました。 不正なドメインへのトラフィック量は、普通の日には正当なドメインへのトラフィック量とほぼ同じであり、ホリデーシーズンには正当なトラフィックの量を大きく上回っていたのです。
このブログ記事では、調査プロセスについて説明し、この分析の結果の一部を紹介します。
悪性の USPS ドメインデータセットの作成
私たちの取り組みは、社内の SecOps チームとの気楽な話し合いから始まりました。SecOps チームは、私たちのチームメンバーのスミッシング・テキスト・メッセージに見られたものと同じ(悪性の)JavaScript ファイルハッシュを使用していたドメインのリストを取得してくれました。また、HTML が例のテキストメッセージと同じパターンを示していたドメイン名のリストも送信してくれました。
そのおかげで、少なくとも悪性であるドメイン名のリストが手に入りました。
このリストをフィルタリングし、文字列「USPS」を含むドメイン名のみを抽出します。そうすると、USPS の消費者をターゲットにしているドメインだけが抽出されます。私たちはそれを 悪性データ 1と名付けました。
続いて、DNS クエリーログを調べて 悪性データ 2 を収集しました。USPS に関連するドメインだけを含めるために、データフィルタリングのための非常に厳格なパラメーターを作成しました。過去 5 か月間の DNS クエリーデータを使用し、次の条件でフィルタリングしました。
- ドメイン名ラベルが「USPS」で始まる
- または、ドメイン名ラベルの末尾が「USPS」である
- または、ドメイン名ラベルに「USPS-」が含まれる
- または、ドメイン名ラベルに「-USPS」が含まれる
- かつ、ドメインが正式な USPS の IP 範囲に属する IP に解決されない
このプロセスにより、ドメイン名に明確に「USPS」が含まれていて、USPS の正式な IP 範囲に解決されないすべてのドメイン名が抽出されました。 これらのフィルタリング条件に合致するものは、正当なエンティティに解決されず、正当なエンティティを模倣しているため、少なくとも疑わしいと言えます。
ここで、正当な Web サイトが選択されていないことを確認するために、いくつかのチェックを行いました。たとえば、まず初めに、「ドメイン名ラベルに USPS が含まれる」というフィルタリング条件を使用しました。しかし、この条件は緩すぎると思われたため、条件を狭めました。
最終的に、両方の悪性データセットを連結して 1 つのデータフレームを作成しました。以下に示すのは、ドメイン名の例の一部と、ユーザーがページにアクセスした場合に表示される画面の例(図 2)です。
usps-deliveryservice[.]icu
uspshelp[.]vip
usps-stampservice[.]com
usps-lookup[.]com
gh-usps[.]shop
![tools.usps-lookup[.]com](/site/ja/images/blog/2024/phishing-usps-malicious-domains-traffic-equal-to-legitimate-traffic-two.jpg)
図 2:tools.usps-lookup[.]com のスクリーンショット
適用したフィルタリング条件は非常に厳格であり、us.ps393[.]com や usps.parceltracker-us[.]com のような完全修飾ドメイン名は含まれていません。そのようなドメイン名にはサブドメインが含まれるからです。正確性を確保するために、コンボスクワッティングの手法を使用した最も明白なサンプルのみを収集しました。
厳格なパラメーターを使用したということは、私たちの分析は非常に保守的であるということです。それでも、悪性トラフィックの量は膨大でした。つまり、これらのなりすましによって実際に生じている影響は途方もないということです。USPS になりすましている悪性ドメインをもっと多く収集することは確かに可能でしたが、このデータセットにフォールス・ポジティブ(誤検知)が含まれないようにすることが極めて重要でした。
その後の統計データはすべて、この分析のために用意されたデータサンプルに基づいています。非常に大規模なサンプルかもしれませんが、あくまでもサンプルであり、サンプルの規模に応じてすべての数値が低くなっています。これは、悪性のデータセットと正当な usps[.]com のデータセット自体の両方に当てはまります。
悪性ドメインの分析
上位のドメイン名
表 1 は、5 か月間で最も DNS クエリー数の多かった悪性ドメインを示しています。
ドメイン名 |
クエリー数* |
|---|---|
usps-post[.]world |
169,379 |
uspspost[.]me |
150,052 |
usps-postoffices[.]top |
27,056 |
stamps-usps[.]online |
24,352 |
usps-shop[.]shop |
23,432 |
uspspostoffice[.]top |
22,734 |
uspspostoffices[.]top |
19,266 |
usps-post[.]today |
18,775 |
uspshelp[.]store |
6,048 |
usps-pst[.]xyz |
5,800 |
表 1:最も DNS トラフィックの多かった悪性ドメイン
適用したデータフィルタリング条件の結果として、これらのドメイン名はすべて、 コンボスクワッティングの形式になっています。コンボスクワッティングは、フィッシングキャンペーンでよく使用される手法であり、馴染みのあるブランド名(この場合は USPS)を使用して標的となる被害者に親近感と正当性を感じさせます。
全体の数字を見ると、2 つのドメイン(usps-post[.]world と uspspost[.]me)のヒット数がそれぞれ 100,000 を超えています。これら 2 つで、データセット内の悪性トラフィックの 29% を占めています。ここではデータサンプルだけを見ているということを考えると、これらのドメインの一部へのトラフィック量はまさに衝撃的です。USPS フィッシングキャンペーンが詐欺師に好まれていることは、驚くべきことではありません。残念ながら、これらの Web サイトには多くの人がアクセスするため、フィッシングキャンペーンを実行する攻撃者にとって利益が出やすいです。
図 3 は、上位 2 つのドメインのアクティビティを示す棒グラフです。このチャートでは、各棒が 1 日を表します。
図 3:上位 2 つの悪性ドメインの悪性アクティビティを示す棒グラフ
私たちが見た中で最もクエリー数の多かったドメインである usps-post[.]world は、USPS の正式な国際拠点として誤って解釈された可能性があります。よくできた悪性ドメインは非常に 利益が出やすい ため、これはよく考えて選ばれたドメイン名であると認めざるを得ません。さらに、「配達できませんでした」のメッセージ(図 4)や、米国において最も配達の多い時期であるホリデーシーズンに特化したブランディング(図 5)も加味すると、このような悪性ページが成功するのも納得です。
図 4:usps-postoffices[.]top の「配達できませんでした」メッセージのスクリーンショット
図 5:usps-stampservice[.]com のホリデーブランディングのスクリーンショット
図 3 の青い棒を再度見てみると、11 月 23 日に usps-stampservice[.]com にトラフィックが発生し始めたことがわかります。これはブラックフライデーの 1 日前です。そして、12 月 1 日まで活発でしたが、その後トラフィックがなくなりました。これは、そのタイミングでサイバー犯罪者が被害者にテキストメッセージを送信するのをやめたからだと考えられます。この Web サイトは現在アクセスできないため、おそらく閉鎖されています。
次に、もう一方のドメイン uspspost[.]me(図 3 のオレンジ色の棒)を見てみましょう。このドメインはクリスマス期間だけでなく、興味深いことに 12 月 6 日もターゲットにしていたようです。これが 聖ニコラスの日にトリガーされたのだとしたら、このキャンペーンのターゲットは非常にニッチです。なぜなら、聖ニコラスの日は米国のごく一部の地域でしか祝われていないからです。また、このキャンペーンは、サイバーマンデーを引きずっている顧客をターゲットにしている可能性もあります。
上位の TLD
次に、悪性コアドメインに関連するトップレベルドメイン(TLD)のうち最もよく使用されているものについて見ていきます。悪性アクティビティに関連する TLD は 233 件確認されました。表 2 は、そのうち最もよく使用されているものを示しています。
TLD |
重複を除いたドメイン数 |
クエリー数 |
|---|---|---|
[.]com |
4,459 |
271,278 |
[.]top |
3,063 |
274,257 |
[.]shop |
566 |
58,194 |
[.]xyz |
397 |
30,870 |
[.]org |
352 |
16,391 |
[.]info |
257 |
7,597 |
[.]net |
159 |
5,920 |
[.]life |
153 |
5,616 |
[.]vip |
105 |
8,724 |
[.]cc |
103 |
6,430 |
表 2:最もよく使用されている、悪性コアドメインに関連する TLD
[.]com TLD は、新しいドメインの登録に最もよく使われています。私たちのデータでは、重複を除いて約 4,500 件の .com ドメインが確認されました。[.]com は全世界の被害者に親近感と正当性を感じさせることができるため、これは驚くべきことではありません。
その他にも、[.]top TLD が攻撃者に好まれているようです。この TLD を使用したドメイン名は 3,000 件以上あり、2 番目に多いです。この一般的な TLD は中国のテクノロジー企業が運営しており、フィッシングキャンペーンで使用される悪性の TLD としてよく知られています。
興味深いことに、この表には [.]world TLD がありません。その理由は、[.]world には計 170,126 件のクエリーがありましたが([.]com と [.]top に匹敵)、そのうち 99.5% が usps-post[.]world へのクエリーだったからです(usps-post[.]world は最もクエリーの多かったドメイン名であることに注意してください)。この TLD を使用したドメイン名はごくわずかしかありませんでした。
上位の IP アドレス
次に、悪性データセットの解決後の IP アドレスとして最もよく見られるものについて調べてみます。
IP アドレス |
エンティティ |
重複を除いたドメイン数 |
クエリー数 |
上位のドメイン(クエリー数) |
|---|---|---|---|---|
155.94.151.28 |
QuadraNet |
3 |
169,373 |
usps-post[.]world(169,364) usps-post[.]vip(7) uspsos[.]com(2) |
99.83.178.7 |
Amazon |
4,333 |
107,776 |
appusps[.]com(208) alter-usps[.]shop(206) usps[.]solutions(192) |
75.2.110.227 |
Amazon |
4,333 |
107,776 |
appusps[.]com(208) alter-usps[.]shop(206) usps[.]solutions(192) |
155.94.156.254 |
QuadraNet |
2 |
68,386 |
uspspost[.]me(68,373) uspsposts[.]com(13) |
155.94.135.202 |
QuadraNet |
2 |
63,593 |
uspspost[.]me(63,589) uspsaps[.]top(4) |
99.83.179.4 |
Amazon |
2,019 |
53,889 |
usps-find[.]com(157) usps-mlpackage[.]com(154) |
75.2.78.236 |
Amazon |
2,019 |
53,889 |
usps-find[.]com(157) usps-mlpackage[.]com(154) |
107.150.7.53 |
QuadraNet |
2 |
49,646 |
usps-postoffices[.]top(26,938) uspspostoffice[.]top(22,798) |
172.86.125.227 |
FranTech Solutions |
2 |
23,422 |
usps-shop[.]shop(23,418) usps-shopusa[.]shop(4) |
104.223.16.2 |
QuadraNet |
3 |
21,186 |
uspspostoffice[.]top (19,180) usps-post[.]vip(2,002) uspsaps[.]top(4) |
表 3:悪性コアドメインの IP アドレス
QuadraNet に属する IP を指すドメイン名はわずかしかありませんが、トラフィックは大量です。
Amazon を指す IP には多数のドメイン名がありますが、各ドメインが関与するクエリーの数は少ないです。
これは、2 つの異なるフィッシング攻撃があるということで説明できそうです。一方では、詐欺師たちは数多くのさまざまなドメイン名にトラフィックを分散させることにしました。 もう一方のキャンペーンは少数のドメインにまたがっており、各ドメインに大量のトラフィックが発生しています。
usps.com と悪性ドメインの比較
正確であると確信できるデータセットを準備できたので、正当な USPS トラフィックと比較してみます。図 6 は、usps.com と悪性ドメインの両方のデータセット内のクエリー総数を示しています。ご覧のとおり、数はほぼ同じです。 厳格なフィルタリングパラメーターを使用したにも関わらず、悪性ドメインは usps.com 自体とほぼ同じ数のクエリーを受けています。これは衝撃的です。
図 6:usps.com へのトラフィックと USPS になりすましている悪性ドメインへのトラフィックの比較
また、時間の経過とともに何が起こっているかを確認することができます。図 7 は、クエリー総数の週ごとの内訳を示しています。
図 7:usps.com へのトラフィックと USPS になりすましている悪性ドメインへのトラフィックの比較(2023 年 10 月~2024 年 2 月)
トラフィックは、普通の日には同程度ですが、 一部の週では悪性ドメインが usps.com 自体よりも多くのクエリーを受けています。これらのピークは、米国において 1 年で最も配達の多い時期である感謝祭(ブラックフライデー)とクリスマスホリデーの頃に発生しています。
攻撃者はこのような贈り物の習慣のある祝日を強く意識しており、それに応じて USPS フィッシングキャンペーンのタイミングを調整しているようです。もちろん、それらの日にちの頃には荷物が届くことを予想している人が多いため、攻撃者がそうするのは理にかなっています。また、ホリデーシーズンは特に忙しい時期であるため、人々は詐欺メッセージをクリックするなど、普段なら犯さないケアレスミスを犯す可能性が高いです。
結論
私たちの調査では、特にクリスマスと感謝祭のホリデーシーズンに USPS がテキスト詐欺による攻撃を受けていることがわかりました。この ホリデーシーズンには贈り物を購入する習慣があるからです。
明確な USPS の頭字語を含むドメインのみを計測した場合でも、悪性ドメインと usps[.]com でクエリー総数はほぼ同じです。この分析では 5 か月間のクエリー総数の 51% を USPS が占めていましたが、私たちは厳格な条件でデータをフィルタリングしたため、実際には悪性トラフィックが正当なトラフィックよりもはるかに多いと考えられます。USPS を例として使用しましたが、このコンボスクワッティングの手法は世界中でフィッシングキャンペーンに使用されています。その理由は、極めて成功しやすいからです。
攻撃者は 2 つの異なるアプローチを使用していました。数多くの異なるドメイン名にトラフィックを分散するか、少数のドメインを使用してそれぞれに大量のトラフィックを発生させるかです。これは、難読化を目的としている可能性があります。なぜなら、通信事業者やその他のホスティングプロバイダーはこのような詐欺が至る所で行われていることに気付いており、そのようなページを特定して削除しようとしているからです。詐欺を排除するためには細心の注意を払わなければならないことを考えると、そのような詐欺が成果をあげており、上述のような観測結果が出ていることは、より一層の不安を引き起こします。
Akamai は今後も、お客様とセキュリティコミュニティ全体の両方を危険にさらすこのような脅威を監視し、報告してまいります。
今後の情報提供
セキュリティに関する最新の調査結果をリアルタイムで確認するためには、 Twitterで Akamai をフォローしてください。