サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 JPCERT/CC 四半期報告対応レポートからみるインシデント傾向

JPCERT/CC 四半期報告対応レポートからみるインシデント傾向

目次
  • 今回の解説ニュース
  • フィッシングサイトで攻撃者がターゲットを絞る理由
  • 人の心理を突く「ラッキービジター詐欺」とは

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

JPCERT/CC 2021年第3四半期インシデント報告、改ざんされたWebサイトから偽ECサイトへの転送を複数確認

一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月14日、2021年7月1日から9月30日までの四半期における「インシデント報告対応レポート」を公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

JPCERT/CCに寄せられたインシデント報告について公開されています。前四半期から21%増加しており、特にフィッシングサイトが増加しているということです。公開されたインシデントの内訳と、よく発生しているインシデントについて説明します。

報告されたインシデントの内訳について、フィッシングサイトが71.8%、スキャンが14.7%となりました。ここで言うスキャンのポートスキャンとは、ネットワークに接続されたコンピュータに対して、外部から接続できるポートがないか探すことです。サービスの種類ごとにポートが割り当てられており、Webサービスであれば443番など、一部のサービスが使うポートはあらかじめ予約されています。

フィッシングサイトの報告件数は6,311件で、前四半期から30%増となっています。内訳では、国内のブランドを装ったフィッシングサイトの件数は3,533件で、前四半期から29%増加、国外のブランドを装ったフィッシングサイトの件数は1,570件となり、前四半期から38%増加したということです。

また、報告があったWeb サイトの改ざん件数は579件で、前四半期から131%増加しています。改ざんされたWebサイトから偽ECサイトやラッキービジター詐欺ページへ転送される事例が複数件寄せられています。なお、暗号資産交換業者を狙った標的型攻撃についても4件報告されているということです。

フィッシングサイトで攻撃者がターゲットを絞る理由

フィッシングサイトで攻撃者がターゲットを絞る理由は、攻撃の成功率をより高めるためです。その手口について説明します。

攻撃者に改ざんされたWeb サイトがどのような状態になっていたかというと、難読化された不正なJavaScriptのコードが挿入され、アクセスしてきたブラウザのReferrerの値をチェックし、検索エンジン経由のアクセスと判断された場合のみ、偽ECサイトへ転送する仕組みとなってたということです。

ちょっと難しい言い回しになっているので簡単に説明すると、攻撃者はパッと見はわからないようにホームページを改ざんして、訪問者がどこのページから移動してきたかを確認して、Googleやヤフーなどの検索結果をクリックしてきた訪問者だけ、偽ECサイトへ誘導しているということです。言い方を変えれば、トップページからだどってきた訪問者や、そのサイトを運用している管理者には、一見、改ざんされたことがわからない状態であることに加えて、偽ECサイトに転送されることもありません。

これはひとえに、そのサイトの訪問者にホームページが改ざんされたことを気づかれて、通報や対策をされてしまうことから逃れるためであると考えられます。つまり、より長くホームページが改ざんされている状態を維持することで、攻撃の成功率を高めることができることになります。

人の心理を突く「ラッキービジター詐欺」とは

以前の記事でも取り上げていましたが、ラッキービジター詐欺について、改めて説明します。

訪問者を選別して、より攻撃成功率を高める仕掛け
ラッキービジター詐欺で攻撃者はCMSの脆弱性を悪用して、サーバに不正なPHPスクリプトを設置します。不正なPHPスクリプトには、アクセスした被害者を詐欺サイトなどへ転送する機能がありますが、ここでも、攻撃の成功率をより高めるために、訪問者が攻撃の対象であるかどうかをチェックしてから表示するページを変更します。具体的には、同じIPアドレスからのアクセスであった場合は不正なページへの転送は発生せず、無害なページが表示されるようになっています。
被害を防ぐために管理者側が行うべきことは?
管理者がこれらの被害を防ぐためには、CMSの脆弱性を洗い出して修正することが必要です。特にCMSのプラグインは脆弱性が多く発見されていますので、最新版にアップデートすることや、しばらく更新されていないプラグインは使用しないなどの対策が必要です。また、すでに攻撃を受けていないか確認する方法として、サーバに身に覚えのないファイルが存在していないか定期的に確認することも有効です。

訪問者としても、目的と異なるページが表示されるなどして何か違和感があれば、いったんブラウザを閉じて、日を改めてアクセスしてみてもいいかもしれません。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ