Zscalerは9月10日(米国時間)、「Typosquatting & Brand Impersonation|ThreatLabz」において、訪問者の多いWebサイトに偽装するタイポスクワッティングとブランド偽装について調査結果を公開した。この調査では500以上の人気のドメインに偽装した10,000以上の悪意のあるフィッシング活動を分析している。

  • Typosquatting & Brand Impersonation|ThreatLabz

    Typosquatting & Brand Impersonation|ThreatLabz

タイポスクワッティングとブランド偽装

タイポスクワッティングとブランド偽装はフィッシング攻撃において密接な関係にあり、多くの場合は同時に使用される。タイポスクワッティングはユーザーのタイプミスによる誤アクセス、または正規サイトと誤認識することを期待するもので、標的ドメインに似たドメイン名を取得する攻撃手法とされる。ブランド偽装は標的Webサイトのコピーサイトを作成する攻撃手法とされる。

調査結果

Zscalerが公開したフィッシングキャンペーンにおけるタイポスクワッティングとブランド偽装に関する調査結果の概要は次のとおり。

業種別の内訳

タイポスクワッティングおよびブランド偽装の標的となったWebサイトの業種別内訳では、インターネットサービス業が約29.2%で最多となった。これは扱うユーザー数、データ量が多く、金融取引も行うことが理由とされる。

これにプロフェッショナルサービス(約26.9%)、オンラインショッピング(約22.3%)が続いた。これに対し、ソーシャルネットワーク(約4.5%)、ストリーミングメディア(約3.3%)は比較的低い割合となった。これは攻撃によって得られる経済的利益が比較的小さいことが要因と考えられている。

偽装されたブランドの内訳

タイポスクワッティングおよびブランド偽装の標的になったWebサイトのブランド別で見ると、Google(約28.8%)、Microsoft(約23.6%)、Amazon(約22.3%)が他を引き離して上位を独占した。Facebookを運営するMetaは4位(約4.0%)にとどまった。上位3つのブランドはユーザー数の圧倒的な多さが標的の理由とされる。

  • タイポスクワッティングの標的になったブランドの内訳 - 引用:Zscaler

    タイポスクワッティングの標的になったブランドの内訳 引用:Zscaler

悪用された認証局(CA)

Webサイトとの安全な接続にはHTTPS(Hypertext Transfer Protocol Secure)が使用される。HTTPSではサーバの正当性の検証に証明書(SSL/TLSサーバ証明書)が使用される。証明書はWebブラウザから信用された公開鍵証明書認証局(CA: Certificate Authority)が発行したものでなければならず、それ以外の証明書は「安全ではない」と評価される。攻撃者はWebブラウザが「安全ではない」と表示することを回避するために正規の証明書を必要とする。

公開鍵証明書認証局は世界中に複数存在するが、その中でも無料で利用できるLet's Encrypt(約48.4%)が最も多く悪用された。これは個人または企業情報を提出せずに安く短時間で取得可能なことが理由とみられる。Google Trust Services(約21.5%)も多く利用されている。

結論

タイポスクワッティングとブランド偽装はブランドが持つ信用力を悪用する。誤ってフィッシングサイトにアクセスしたユーザーは、ブランドを信用するあまり攻撃の兆候を見逃すことがある。Zscalerは調査結果を閲覧し、現在のフィッシング攻撃の傾向と戦術を把握してセキュリティ対策の強化に役立ててほしいとコメントしている。