新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

最もフィッシング攻撃されやすいブランド上位50件と、フィッシングから社員を守るために使える新しいツール

2023/03/13

7 分で読了
Top 50 most impersonated brands in phishing attacks and new tools you can use to protect your employees from them

組織内の誰かが、社内システムの管理者ユーザー名とパスワードを、間違ったWebサイトに送信した可能性があります。そして、まさに今、攻撃者は機密データを流出させることができるようになりました。

なぜ、このようになったのでしょうか?巧妙に細工されたメールのせいです。

フィッシング攻撃の検出、ブロック、リスクの軽減は、セキュリティチームが常に直面している最も困難な課題の1つであることは間違いありません。

本日より、セキュリティセンターのダッシュボードから直接、新しいブランドとフィッシング対策ツールへのベータアクセスを開始し、組織を標的としたフィッシングキャンペーンを事前にキャッチして軽減することができます。

フィッシング攻撃への課題

ここ数カ月で最も注目された脅威のベクトルは、おそらくフィッシング攻撃でしょう。これらの攻撃は非常に高度で、検出が難しく、頻度も高くなっており、被害に遭った企業は壊滅的な被害を受ける可能性があります。

フィッシング攻撃を防ぐための最大の課題の一つは、その量の多さと、正規のメールやWebサイトを不正なものと区別することの難しさです。ユーザーが警戒していても、攻撃者がフィッシングメールやWebサイトを説得力のあるものに見せるために使用している微妙な違いを見つけるのは難しい場合があります。

例えば、昨年7月、当社のCloudflare One製品群と物理的なセキュリティキーの使用により、Cloudflareの従業員を標的とした高度なフィッシング攻撃「Oktapus」を阻止しました。100社以上の企業へ被害を及ぼすことに成功した「Oktapus」攻撃の背後にいる攻撃者は、、当社の社員に送信するわずか40分前に「cloudflare-okta.com」ドメイン名を登録しました。

当時、 安全なレジストラ製品でフィッシングドメインを特定しましたが、監視のために新たに登録されたドメインのリストを受け取るのに遅れがありました。現在、1.1.1.1リゾルバー(およびその他のリゾルバー)によって解決された新たに観測されたドメインをストリーミングすることにより、フィッシングドメインをほぼ即座に検出できます。これは有利であり、フィッシングを未然にブロックすることができます。

お客様が現在進行中の課題に対処できるよう、当社が社内で使用しているツールと同じ物をお客様にも提供することを検討しています。

Cloudflareのセキュリティセンターに新ブランドとフィッシング対策ツールが登場

Cloudflare Oneをご利用のお客様は、いわゆる「紛らわしい」ドメインを自動的に特定して—ブロックする—ことで、フィッシング保護を拡大することができます。よくあるスペルミス(clodflare.com)やサービスの連結(cloudflare-okta.com)は、攻撃者により登録させられることが多く、被害者は気付かないうちに騙され、パスワードなどの個人情報を送信させられますが、この新しいツールは、そのような試みに対する追加の保護レイヤーを提供します。

新ブランドおよびフィッシング保護ツールは、Cloudflareのセキュリティセンターの下にあり、 より多くのコントロール (監視するカスタム文字列、検索可能な過去のドメインリストなど)をお客様に提供します。Cloudflare Oneプランは、プランタイプに応じた制御、可視性、自動化のレベルでアクセスすることができます。

当社の新しいブランド保護インターフェース

新ドメインのブランドマッチングとアラート表示

新ブランド保護機能の核となるのは、正規ブランドのフィッシング専用に作成されたホストネームを検出する機能です。まず、1.1.1.1,に対する毎日の数兆件のDNSクエリーを調査し、ドメインやサブドメインの最初の使用を監視することから始めます。CloudflareのパブリックDNSリゾルバーを利用し、初めて未開のホストネームのリストをコンパイルするためです。

このリストを使用し、意味やスペルが似ている2つの文字列を照合する技術である「ファジー」マッチングを、ユーザーが保存したパターンに対してリアルタイムで実行します。文字列を比較し、さまざまな要因(音声学、距離、部分文字列のマッチングなど)に基づいて類似性スコアを計算します。これらの保存されたパターンは、 編集距離を持つ文字列にすることができ、リスト内のドメインとの一致を検出するたびに、システムがアラートを生成します。

現在はユーザーがクエリーを作成・保存する必要がありますが、将来的には自動マッチングシステムを導入する予定です。このシステムにより、ユーザーのマッチング検出プロセスは簡素化されますが、より複雑なパターンを追跡するセキュリティチームのために、カスタム文字列は引き続き利用可能です。

ブランド保護に関する注意喚起

履歴検索

リアルタイム監視に加え、履歴検索(保存されたクエリー)、過去30日以内に新たに観測されたドメインに対するアラートも提供します。新しいパターンが作成されると、過去30日間の検索結果を表示し、一致する可能性のあるものを表示します。これにより、セキュリティチームは、新たなドメインの潜在的な脅威レベルを迅速に評価し、必要な措置を講じることができます。

さらに、この検索メカニズムはアドホックドメインハンティングにも使用でき、特定のドメインやパターンを調査する必要があるセキュリティチームにさらなる柔軟性を提供します。

野放し状態を監視:最もフィッシングされたブランド

これらの新ブランド保護ツールを構築する一方で、一般的にフィッシングされる幅広いブランドに対し、当社の機能をテストすることを検討しました。そのために、フィッシングURLを含むドメインが、当社の1.1.1.1リゾルバーで解決される頻度を調査しました。フィッシング攻撃であると確認できなかった共有サービス(ホスティングサイトであるGoogle、Amazon、GoDaddyなど)に使用されているすべてのドメインは、データセットから削除されました。

なりすましブランド上位50件とフィッシングで最もよく使用されたドメインは以下の表でご覧いただけます。

順位 ブランド ブランドのなりすましに使用されたサンプルドメイン[1]
1 AT&T Inc. att-rsshelp[.]com
2 PayPal paypal-opladen[.]be
3 Microsoft login[.]microsoftonline.ccisystems[.]us
4 DHL dhlinfos[.]link
5 Meta facebookztv[.]com
6 Internal Revenue Service irs-contact-payments[.]com
7 Verizon loginnnaolcccom[.]weebly[.]com
8 Mitsubishi UFJ NICOS Co., Ltd. cufjaj[.]id
9 Adobe adobe-pdf-sick-alley[.]surge[.]sh
10 Amazon login-amazon-account[.]com
11 Apple apple-grx-support-online[.]com
12 Wells Fargo & Company connect-secure-wellsfargo-com.herokuapp[.]com
13 eBay, Inc. www[.]ebay8[.]bar
14 Swiss Post www[.]swiss-post-ch[.]com
15 Naver uzzmuqwv[.]naveicoipa[.]tech
16 Instagram (Meta) instagram-com-p[.]proxy.webtoppings[.]bar
17 WhatsApp (Meta) joingrub-whatsapp-pistol90[.]duckdns[.]org
18 Rakuten rakutentk[.]com
19 East Japan Railway Company www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net
20 American Express Company www[.]webcome-aexp[.]com
21 KDDI aupay[.]kddi-fshruyrt[.]com
22 Office365 (Microsoft) office365loginonlinemicrosoft[.]weebly[.]com
23 Chase Bank safemailschaseonlineserviceupgrade09[.]weebly[.]com
24 AEON aeon-ver1fy[.]shop
25 Singtel Optus Pty Limited myoptus[.]mobi
26 Coinbase Global, Inc. supp0rt-coinbase[.]com
27 Banco Bradesco S.A. portalbradesco-acesso[.]com
28 Caixa Econômica Federal lnternetbanklng-caixa[.]com
29 JCB Co., Ltd. www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top
30 ING Group ing-ingdirect-movil[.]com
31 HSBC Holdings plc hsbc-bm-online[.]com
32 Netflix Inc renew-netflix[.]com
33 Sumitomo Mitsui Banking Corporation smbc[.]co[.]jp[.]xazee[.]com
34 Nubank nuvip2[.]ru
35 Bank Millennium SA www[.]bankmillenium-pl[.]com
36 National Police Agency Japan sun[.]pollice[.]xyz
37 Allegro powiadomienieallegro[.]net
38 InPost www.inpost-polska-lox.order9512951[.]info
39 Correos correosa[.]online
40 FedEx fedexpress-couriers[.]com
41 LinkedIn (Microsoft) linkkedin-2[.]weebly[.]com
42 United States Postal Service uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app
43 Alphabet www[.]googlecom[.]vn10000[.]cc
44 The Bank of America Corporation baanofamericase8[.]hostfree[.]pw
45 Deutscher Paketdienst dpd-info[.]net
46 Banco Itaú Unibanco S.A. silly-itauu[.]netlify[.]app
47 Steam gift-steam-discord[.]com
48 Swisscom AG swiss-comch[.]duckdns[.]org
49 LexisNexis mexce[.]live
50 Orange S.A. orange-france24[.]yolasite[.]com

[1] Pフィッシングサイトは通常、ルートではなく特定のURLで提供されます。例えば、hxxp://example.com/login.htmlではなく、hxxp://example.com/login.htmlのようにです。ここでは、完全なURLは記載していません。

脅威インテリジェンス機能とZero Trust実施の融合

この新機能は、当社のZero Trust製品群をご利用のお客様に、より効果を発揮します。実際、Cloudflare GatewayまたはDNSポリシーのルールを作成することで、紛らわしいドメインを検出すると、簡単にブロックすることができます。これにより、ユーザーが潜在的に悪意のあるサイトに移動したり、閲覧したりすることを即座に中止させ、攻撃を未然に防ぐことができるのです。

紛らわしいドメインをブロックするDNSポリシールールの例

今後の機能強化

今回の新機能は、より広範なブランド侵害およびフィッシング対策のセキュリティのポートフォリオの始まりに過ぎません。

SSL/TLS証明書との照合

ドメインとの照合に加え、当社の証明書透明性ログである Nimbus に記録された新しい SSL/TLS 証明書との照合も予定しています。CTログを分析することで、フィッシング攻撃で使用される可能性のある不正な証明書を特定することができます。証明書は通常、ドメイン登録後すぐに作成され、HTTPSをサポートすることでフィッシングサイトの正当性を高めようとするものであるため、このような情報は有用です。

管理リストの自動作成

現在、お客様はZero Trustのブロックルールで参照されるカスタムリストの更新をスクリプトで行うことができますが、前述のように、動的に更新されるリストにドメインを自動的に追加することを計画しています。さらに、Zero Trustルールで使用できるリストに、一致するドメインを自動的に追加します(例:以下の通り)。Gatewayからのブロック。

ドメイン所有権などのメタデータの変更

最後に、ドメインの所有権や、登録者、ネームサーバー、解決済みIPアドレスなどのメタデータの変更を監視する機能を提供する予定です。これにより、お客様はご自身のドメインに関連する重要な情報の変更を把握し、必要に応じて適切に対処することができます。

利用開始

Enterpriseのお客様は、ブランド保護のベータ版へのアクセスにご登録 にいただくと、お客様のドメインのプライベートスキャンへのアクセス、クエリーの保存、一致したドメインに対するアラートの設定が可能になります。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべてのWebサイトまたはインターネットアプリケーション を迅速化し、DDoS攻撃を阻止して、 ハッカーを封じ込めます 。 さらに、Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、こちら をご覧ください。新たなキャリア形成をお考えの方は、求人情報 にアクセスしてください。
Security Week (JP)Phishing (JP)Brand (JP)Product News (JP)日本語

Xでフォロー

Alexandra Moraru|@alexandramoraru
Patrick R. Donahue|@prdonahue
Cloudflare|@cloudflare

関連ブログ投稿

2023年6月20日 13:00

Webサイトの高速化、顧客の増加:Cloudflare Observatoryは、お客様のビジネスの成長をサポートします

本日、Speed タブの新規強化版であるCloudflare Observatoryを発表し、大変嬉しく思います。Cloudflareのお客様は、パフォーマンス監視を簡素化し、より充実した製品レコメンデーションを提供する一連の強力なツールにアクセスできるようになりました。...

2023年3月20日 13:00

Security Week 2023で見逃したかもしれない内容のまとめご用意しました

保護の対象は「アプリケーション」から「従業員」へ。Security Week 2023ではCloudflareがこのシフトを簡単にし、あらゆる場所で従業員を確実に保護する仕組みをご紹介しました。ぜひご覧ください...