国税庁に偽装したメールで確認されたフィッシング Web サーバー

ASEC 分析チームは最近、国税庁を詐称したフィッシングメールが拡散している状況を確認した。このフィッシングメールは、社内メールのパスワードの有効期限満了を強調し、アカウントがロックされる前にパスワードを維持するように推奨する内容で拡散している。

図1) 本文メール

図2) アカウント入力フィッシングサイト

図3) ログインページのソースコード

「同じパスワードを維持」という　URL をクリックすると、社内メールのログインページが確認できるが、このログインページの HTML スクリプトコードは上記のようになる。コードから確認できるように、ユーザーがログインすると、ユーザーのアカウント情報が攻撃者のサーバーに流出する形態になっている。

図4) 攻撃者のサーバー

• フィッシングページのアドレス : hxxps://cloudflare-ipfs[.]com/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html#[ユーザーのメールアドレス]
• ユーザー情報の流出アドレス : hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php

ユーザーはメールだけではなく、ページ自体の URL が正常なドメインであるかの確認および注意が必要である。実際に今回の事例のトップレベルドメインに接続すると、フィッシングのための構成ファイルがアップロードされている Web サーバーが確認できる。

図4のように、攻撃者が様々なフィッシングサイトを作る際に使用したものと見られるファイルがあり、特定のディレクトリには米国のある銀行を偽装してフィッシングを行うための多数のスクリプトファイルが精巧に作られていた。特にログインページの場合、通常のユーザーが確認した際に銀行の実際の Web ページと見分けがつかないほどの高い類似性を保持している。

図5) 銀行の Web サーバーに使われたファイル

以下のように順に、攻撃者がフィッシングを行うためのログインページ(1)、個人情報記入ページ(2)、カード情報入力ページ(3)とそれぞれ、攻撃者に個人情報が伝達される方法について説明する。それ以外にも email 情報記入ページ、email アカウントについてのセキュリティ質問ページが追加で存在する。

1. ログインページ

図6) ログインページ

ログインページでユーザーがアカウント情報を入力すると、入力されたアカウント情報は攻撃者が作っておいた darkx/mainnet.php に転送される。php サイトでは図7のように、ユーザーのアカウント情報と IP 情報を受け取って txt ファイル形態で保存し、同じ情報を Telegram で送信する。

図7) ログインページと接続された php コード

結果的には、攻撃者がそれぞれのフィッシングページからユーザーの個人情報を収集すると、図8のようにそのページ名と同じ名前の txt ファイルでページから収集された情報を保存するものだと確認できる。実際の login.html を通してログインしたユーザーのアカウント情報と IP 情報が login.txt ファイルに保存されている。

図8) 個人情報が保存されるテキストファイル

図9) ユーザーのアカウント情報が保存された login.txt ファイル

2. 個人情報の詳細記入ページ

図10) 個人情報の詳細記入ページ

図11) 個人情報が保存された account_verify.txt ファイル

個人情報詳細記入ページでもユーザーが入力した情報が攻撃者の php サイトに送られ、攻撃者はこれを txt ファイルで IP 情報と収集すると確認された。この時、攻撃者が収集した個人情報には、韓国国内の住民登録番号のような Social Security Number (SSN)も含まれており、このような個人情報が流出すると被害が大きくなることが予想される。

3. カード情報記入ページ

図12) カード情報記入ページ

図13) カード情報が保存された credit_Verify.txt ファイル

攻撃者が作成しておいたカード情報記入ページでユーザーが情報を入力すると、その銀行のクレジットカード番号、カードのパスワード、ATM の PIN 番号などが攻撃者から同じ経路で流出する可能性もある。

ASEC 分析チームが今回見つけた攻撃者のサーバーは、銀行を詐称した Web サーバーだったが、それ以外にも某企業のログインページに使用される PNG 画像、米国の特定 Web ホスティングサービス業者のロゴ画像があり、攻撃者はその差異と似たようなフィッシングサイトを作ったものと推測できる。

ユーザーを欺くために、攻撃者は様々な企業に偽装して精巧に製作をしているため、信頼できない送信元からのメールの閲覧は控えなければならず、特に銀行のフィッシングサイトはその特殊性のため、プライバシーな情報などを含む様々な個人情報が流出する可能性があるため、特に注意する必要がある。

[IOC]
hxxps://cloudflare-ipfs[.]com/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html#
hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。