EMEA フィッシング パターン: F5 SOCからの洞察

実際に釣り（本物の生きた魚を釣る）をする人にとって、タイミングが重要であることは周知の事実です。 特定の種類の魚はより活発なので、午前中に捕獲される可能性が高く、他の魚は夕方に、さらに他の魚は午後の早い時間に捕獲される可能性があります。

2015 年に F5 SOC がヨーロッパ、中東、アフリカ (EMEA) の金融機関に対して行われたフィッシング攻撃から収集した統計に基づいて、このような活動を行っている人物が示すパターンを解釈すると、デジタル フィッシングも同様であることがわかります。 

タイミングが重要

EMEA でフィッシング攻撃に巻き込まれるのを避けたい場合、金融ビジネスを行うのに最適な曜日は土曜日であることがわかります。 2015 年に発生した攻撃はわずか 5% で、次に多いのは金曜日と日曜日で、どちらの日もわずか 12% しか発生していません。

月曜日の悪い評判は本当で、月曜日には他のどの曜日よりも多くの攻撃（20%）が見られましたが、ビジネスウィークの残りの日もそれほど状況は良くありません。 IDCの調査によると、職場でのインターネットアクセス時間の30～40%は仕事に関係のない活動に費やされていることを考えると、金融機関が週末よりも平日に平均して多くの攻撃に遭遇するのは驚くことではありません[1]。

このことは、ほとんどのフィッシング攻撃が営業時間中に発生していることを示すデータによってさらに裏付けられます。

2015 年には、月末よりも月初にフィッシング攻撃が発生する可能性が 200% 高くなりました。 フィッシング攻撃は月の最初の週にピークを迎え、その後は徐々に減少し、予想通り平日は活動が多くなり、週末は活動が少なくなりました。

当然のことながら、EMEA 地域全体では、ほとんどの雇用主が従業員の給与を月初か月末に支払っています。 F5 SOCの専門家は、この点とEU全体のオンラインバンキングの平均利用率が46%であること[2]が相まって、従業員が請求書の支払いや給与の入金確認のためにオンラインバンキングシステムにログインする月初めに攻撃が急増する原因である可能性が高いと指摘しています。

適切なルアーを選ぶ

現実世界で釣りをする場合、どのルアーが最適かということほど議論になる話題はありません。 色、サイズ、動き、そしてルアーが「現実」の世界をどれだけ忠実に模倣しているかが重要な要素です。 結局のところ、私たちは魚に、自分たちが使っているルアーが本物だと信じ込ませて、魚が食いつくことを期待しているのです。 デジタル世界で金融データを狙うフィッシング詐欺師が使用するおとりやサイトについても同様です。

魚を説得するのに多くのことが必要であるのと同様に、フィッシングの潜在的な被害者も説得するのに多くのことが必要であることが判明しました。 F5 SOC は、誰かが詐欺の餌に引っかかるまでに、詐欺ページに平均 9.14 回アクセスする必要があることを発見しました。

専門家は、フィッシング詐欺師とその手口についてできる限り多くの情報を得るために、発見された詐欺サイトの評価に多くの時間を費やしています。 フィッシング攻撃で使用される URL から、攻撃者について多くのことがわかることが判明しました。 2015 年には、不正サイトの 10 件中 1 件が、www.phishingsite.com または www.phishingsite.com/index.html のように、追加パスなしでルート方向にホストされていたことが確認されました。これは、サーバーが不正サイトをホストするために特別に準備されていたことを示しています。 つまり、それらはフィッシング攻撃を目的として特別に購入された可能性が高いということです。 通常、攻撃者は既存のサイトをハッキングして悪意のあるコンテンツを挿入しますが、サイトの設定は Web アプリケーション ファイアウォールなどの他の予防手段では検出されにくいため、この動きは不安を招きます。

2015 年にこの人気のシステムを悩ませていると報告された深刻な脆弱性の数を考えると、不正サイトの 15% が Word Press フォルダーでホストされていたことは驚くことではありません。 パッチが適用されていない、または対処されていない脆弱性は、悪意のあるコードや詐欺サイトをホストする場所を探している人々によって簡単に悪用されます。

さらに、F5 SOC の専門家は、URL パスの 20% が被害者ごとに動的に生成されたため、従来のセキュリティ対策ではブロックすることが困難であると指摘しています。 これは、2015 年に詐欺サイトの削除または閉鎖に要した平均時間にも影響しています。

良いニュースとしては、エンドユーザーの認証情報が盗まれた場合、不正なサイトを削除するのにかかる時間が短くなることです。 残念なことに、その間、多くのユーザーは保護されず、潜在的な危険に気付かないままです。

F5 SOC では、確立から検出までの時間を短縮するために、公式の名前に似た名前のドメインを監視することを推奨しています。 多くの偽のページは、必ずしも類似した名前のドメインでホストされているわけではありませんが、攻撃 URL に公式の文字列が含まれています。 一般的に、F5 SOC では、これらの特定の単語をインターネットで検索することを推奨しています。 EMEA に所在する金融機関を狙ったフィッシング攻撃は、月曜日から木曜日の営業時間中に最も活発になる傾向があります。 消費者が認証情報の盗難の被害者になるのを防ぐには時間が重要なので、できるだけ早くすべての偽のページを分析してシャットダウンすることが重要です。

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

F5 の詐欺防止の詳細については、 WebSafe データシートとMobileSafeデータシートをご覧ください。 F5セキュリティオペレーションセンターの詳細については、 F5 SOCデータシートをご覧ください。