管理画面のアバターはイッヌ(doggo):新フィッシングキット「Xiū gǒu」が日本含む複数国を標的に
新たなフィッシングキット「Xiū gǒu(修狗)」についての分析記事を、Netcraftの研究者らが公開。このキットは、遅くとも2024年9月から、米国、英国、スペイン、オーストラリア、そして日本の公共部門、郵便部門、デジタルサービス部門、銀行部門を狙ったフィッシングキャンペーンを展開するために使われているという。
「イッヌ(doggo)」をメインキャラクターに掲げたフィッシングキット
Netcraftは、Xiū gǒuを使って作成されたフィッシングサイトを2,000件以上確認。これらは、自動車の利用に関する支払いや公共料金の支払い、郵便物に関する支払いなどを口実にしたフィッシングキャンペーンに使われていると伝えている。またこのキットで作成されるフィッシングサイトはCloudflareのアンチボット機能およびホスティング難読化機能を利用し、検出を回避しているという。
キット名に使われている中国語(マンダリン)の「Xiū gǒu(修狗)」は、「犬」を意味する英語のスラング「doggo」と同じような意味合いを持つ言葉で、日本語でいう「イッヌ」に相当すると思われる。この名の通り、このフィッシングキットの管理パネルおよびTelegramボットには、犬のイラストがアバターとして使われている。
そのほか、NetcraftはXiū gǒuの特徴として以下の点を挙げている:
- フィッシングページおよび管理パネルのフロントエンドにはVue.js、バックエンドにはGo言語(SynPhishServer実行ファイル経由)が使われるなど、従来のようなPHPのフィッシングキットとは異なり、現代的なテックスタックを使って開発されている。
- フィッシングページに入力されたターゲットの認証情報はTelegramボットを使って抽出されるため、たとえフィッシングサイト自体がテイクダウンされたとしても、攻撃者は騙し取ったデータへ引き続きアクセスできる。
- ルアーメッセージは、SMSではなくRCS(リッチコミュニケーションサービス)を使って送られる。
- トップレベルドメインには「.top」が使われることが多いほか、それぞれの詐欺テーマにちなんだドメイン(自動車関連の詐欺なら「parking」、公共料金関連なら「living」など)か、なりすまし対象(英国政府など)の名前の一部を含んだドメインが登録されるのが一般的。
- アバターの犬をユーザーがクリックすると「サグライフ」バージョンに切り替わるなど、Xiū gǒuの作成者はこのキットに遊び心を散りばめている。
- スクリプト言語の使い方やユーザーチュートリアルが用意されている事実などを踏まえると、Xiū gǒuの作成者はユーザーエクスペリエンスを重視していると思われる。
- Xiū gǒuの作成者は同キットの利用状況を測定・分析しているが、これにはおそらく、分析結果を踏まえてキットを改善することにより、フィッシングキットとしての競争力を高める狙いがあると思われる。
Xiū gǒuの攻撃シナリオ
Netcraftによると、例えば英国政府のWebサイトをなりすましの対象としたフィッシング攻撃は、以下のような流れで実施されるという。
①ターゲットのもとに、ルアーとなるRCSメッセージが送られてくる。これには、「冬季の生活支援のため、生活費を支援することになった」「請求の期限は2024年mm月dd日」などの文言とともに、URLが記載されている。
②ターゲットがこのURLをクリックすると、英国政府のサイト(gov.uk)にそっくりのフィッシングサイトへ飛ばされる。(攻撃検出目的で使われるようなボットがこのリンクをクリックした場合は、無害な正規サイトへ飛ばされるため、フィッシングのアクティビティが検出されづらくなっている)
③ターゲットが、「生活費を受け取るために必要」とされる情報(個人データや決済手段など)をフィッシングサイトに入力する。
④入力された情報は、Xiū gǒuの運営者によってセットアップされたボットを通じてTelegramへと抜き出される。
日本の組織・個人も警戒を
Xiū gǒuは今なおアクティブなツールであり、世界各国の組織・個人を狙った進行中のキャンペーンで使われている。Netcraftは標的になっている国として日本も名指ししていることから、以下のような対策を実施してこの脅威に備えることが求められる。
- リンクをクリックする前に、マウスホバーによって正確なURLをチェックする。
- 予期せず送られてきたメッセージ経由で訪れたWebサイトでは、機微な個人情報を入力しないようにする。
- 多要素認証(MFA)を有効化する。
- アンチフィッシングソフトウェアを利用する。
- フィッシングのさまざまな手口について学んでおく。
ランサムウェアレポート&インテリジェンス要件定義ガイド、無料配布中!
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価