phishing

SSLサーバー証明書に騙されない!すべてのカギマークが安全とは限りません

SSL証明書に騙されない!すべてのカギマークが安全とは限りません。 Stefanie Ellis Portfolio Marketing Manager, MarkMonitor 2019年5月16日 Facebookでつながりのあるセキュリティ業界以外の友人を対象に、アドレスバーに表示される南京錠アイコンとその意味について、非公式の調査を行いました。結果は、「わからない」、「閲覧中のウェブサイトが安全であるという意味」や「httpsの末尾の『s』がついている理由」という回答に分かれました。残念ながら、南京錠やhttpsの末尾の「s」は、閲覧中のウェブサイトが有効かつ正規のもので、そのウェブサイトは安全であるという誤った認識を持っていることがわかりました。   南京錠アイコン(あるいは、「Secure」という言葉や、時には組織名)とhttpsの末尾の「s」は、閲覧中のウェブサイトの所有者が、ユーザーのブラウザからウェブサイトに転送されるデータを暗号化するSSLサーバー証明書を購入していることを意味しています。   ところが、ウェブサイト自体は、必ずしも正規で安全なものであるとは限りません。この違いが重要なのです。   SSLサーバー証明書とは何か? SSLとは、ウェブサーバーとブラウザ間の通信チャネルを暗号化するテクノロジー名である「Secure Sockets Layer」の頭文字です。ウェブアドレスに含まれるhttpの末尾の「s」は、このテクノロジーが使われていることを示しています。送信データの機密性を守るためのものです。   SSLによるユーザーデータの保護は、業界基準として、インターネット全体で広く活用されています。通信チャネルをSSL暗号化するためには、ウェブサイトの所有者が認証局(CA)からSSLサーバー証明書を購入しなければなりません。   (命名規則に関する注記:SSLは、Transport Layer Securityを意味するTLSとも呼ばれます。これは、基本的に新しいバージョンのSSLです。多くのベンダーは「SSL/TLSサーバー証明書」というフレーズを使用していますが、これらのプロトコルは証明書そのものではなく、サーバー設定で決まるものであるため、正確には「SSLやTLSを使用していることの証明」と呼ぶべきでしょう。ここでは、SSLサーバー証明書と総称します。)   ほとんどのユーザーが知らないこと 購入可能なSSLサーバー証明書には、さまざまなレベルがあります。ベーシックな証明書は、ドメイン認定(DV)型です。これは、単に申請者がドメイン名を管理していること(WHOISの連絡先宛てに送信されたEメールに返信する、特定のTXTレコードをそのドメイン名のDNSゾーンファイルに追加する、あるいは特定のテキストファイルをドメイン名のウェブサイトに追加すること)を証明するものです。   企業認証(OV)SSLサーバー証明書の認定プロセスには、ドメイン所有権や組織情報の確認作業が含まれるため、DV証明書よりも認定に時間がかかります。推奨されるのは、OV証明書です。CAが発行前に最も厳しい認証プロセスを適用しているのは、拡張認証(Extended Validation: EV)SSLサーバー証明書です。そのため、EV証明書は、金融機関やeコマースサイトで一般的に多く使用されています。   各種ブラウザで、EV、OV、DV証明書を区別する方法は標準化されていません。Firefoxでは、EV証明書を所有するウェブサイトの場合、アドレスバーに会社名が表示され、OVやDV証明書の場合には、セキュアなウェブサイトの名前がリストに記載されます。 ところが、ChromeではEV、OV、DVの違いを区別しておらず、「Secure」と示しているだけです。   HTTPSは、サイトが安全だという意味ではない サイバー犯罪者は、インターネットユーザーにサイトが安全であると信じさせるためのトリックを考え出しました。   最近まで、多くのサイバー犯罪者は、コストの点から自身のサイトにSSLサーバー証明書を登録していませんでした。またCAもSSLサーバー証明書を発行する前に組織の審査を行っていました。ところが最近になって、この取り組みを主導していたLet’s Encryptなどの組織とComodoが、短期(90日間)限定のSSLサーバー証明書付きドメインの発行にかかる手数料を廃止したことで情勢が変わり、SSLサーバー証明書を使用するためのプロセスが大幅に簡略化されました。   それにより証明書を購入できない多くのウェブサイトや、証明書を管理する技術的知識のないウェブサイトのトラフィックを安全なものへと変えることができます。ところが、不運にも、正規のユーザーを保護するために暗号化されるウェブサイトが増える一方で、サイバー犯罪者にこの取り組みを悪用されるケースもまた、大幅に増加しました。   SSLサーバー証明書を無料で簡単に登録できるようになったことで、サイバー犯罪者に、一般ユーザーの「https/南京錠/『Secure』表示=安全なサイト」という認識を悪用した攻撃手段を与えてしまうことになりました。SSLサーバー証明書がセキュリティに関して間違った印象を与え、さらに多くのユーザーがフィッシングサイトの被害にあっています。   MarkMonitorは、SSLサーバー証明書を使用しているフィッシングサイトの数を追跡しています。以下のグラフは、2018年1月から2019年2月の期間に確認された、SSLサーバー証明書を使用しているフィッシングサイト割合を示したものです。10月に証明書を使用しているフィッシングサイト数が急増し、ピーク値を記録しましたが、2019年2月現在もほぼ横ばいになっています。   ウェブブラウザはこの問題を防止できない ウェブブラウザは長期に渡り、httpsの安全性を信用するようにユーザーを促してきました。ところが、一般的に、SSLサーバー証明書は通信チャネルの暗号化は証明しているものの、そのウェブサイトの信頼性を認定してはおらず、ウェブアプリケーションのセキュリティを示すものでもありません。   ウェブブラウザは、安全なオンライン体験の確立を重視しているため、消費者の保護を強化する責任の一端を担っています。Google ChromeやMozilla Firefoxは、クレジットカードやパスワードの入力欄が含まれるウェブサイトページが暗号化されていない場合、必ずアドレスバーに「Not Secure」と表示するようにしました(HTTPSではなく、HTTPを使用しているサイトは、SSLを使用していないことを意味します)。また、Chrome 62では、データ入力欄が含まれるすべてのページで、同じ対応を行っています。 […]

RSAでブランドの悪用とフィッシングの影響を学ぶ

RSAからブランドの悪用とフィッシングの影響を学ぶ Stefanie Ellis Portfolio Marketing Manager, MarkMonitor 2019年2月25日   ブランドの悪用や消費者を標的としたフィッシングからどの程度効果的にブランドを保護できていますか?   最も効果的なオンライン戦略については専門家が参加するRSAコンフェレンスで、この質問の答えを見つけることができるでしょう。注目すべき点の一つにブランド保護とオンライン詐欺対策を融合させたプログラムがあります。   ブランド侵害とは、偽装または偽のアフィリエイトによってトラフィックを奪う、知的財産の不正使用のことです。これには虚偽のリンク、フィッシング詐欺以外のブランドのなりすまし、サイバースクワット、ブランドとロゴの混合、パートナーコンプライアンス、キーワードの不正使用が含まれます。 一方、詐欺行為には、不正に金銭やデータを入手するという意図が含まれており、マルウェア、フィッシング、ビジネスメール詐欺(BEC)、スピアフィッシングなどの悪質な脅威が含まれます。どちらも、企業の収益、評判、そして顧客に重大な損失をもたらす可能性があります。   消費者の保護 大多数のインターネットユーザーは積極的に模倣品を探すことはなく、善意であり、企業が悪質な脅威からユーザーを保護することを期待しています。 MarkMonitorが実施した調査によると、88%が模倣品購入の脅威から消費者を保護するために、企業は積極的に対策を取るべきと考えています。またオンライン上のサービスを利用する際、ハッカーが取引の詳細(65%)、個人情報(59%)、金銭(56%)を盗み取ることができることを危惧しています。   二重目的ソリューション ブランド保護とサイバーセキュリティの間には接点があり、それは MarkMonitorの調査レポートにも表れています。マーケティングの意思決定者の72%が、サイバーセキュリティへの関心の高まりにより、ブランド保護が組織の注目を集めていると考えています。さらに、82%が来年には、ブランド保護戦略を改訂し、サイバーセキュリティや詐欺に関する新たな脅威への対策項目を含めるとしています。   オンライン上で二重目的アプローチを採ることで、ブランドの不正利用と侵害の両方に正面から取り組むことができます。このアプローチはインターネットユーザーをブランド保護対策の中心に置き、侵害状況に優先順位をつけ、最もユーザーの目に付きやすい場所、ユーザーが貴社のブランドをオンラインで実際に見ているところを集中的に対策することで、ブランドの不正利用と侵害の両方の課題に取り組みます。 意図に関係なく、両方の脅威が対処されることになります。   ブランド保護は、予防、検出、および脅威軽減を扱う包括的な対策が必要です。対策には以下のものがあります。   悪意のあるWebサイトへの消費者のアクセスをブロックする方法 消費者が誤って悪意のあるサイトにアクセスすると、そのブランドのオンラインサイトを二度と信用することはありません。 ヒント:MarkMonitorのフィッシング対策ソリューションを利用すると、フィッシングサイトへのアクセスを瞬時にかつ広範囲でブロックできます。   フィッシングを特定する方法 悪意ある脅威は、ブランドをターゲットにする時、フィッシングの形をとることが多く、顧客の金融資産と企業のブランド、評判を危険にさらします。 フィッシング対策ソリューションは、フィッシングの脅威に対処するための予防ツールで、顧客をフィッシング攻撃から保護します。早期警告ドメイン登録データとフィッシングキットの情報は、フィッシング対策に効果的です。   包括的なサービス: 幅広いデータソースから脅威を識別し、検出できるパートナーと協力しましょう。 脅威緩和対策には複数の種類の通信ポイントを含める必要があり、あらゆる種類のフィッシング、スミッシング、電子メールによる攻撃を阻止することができます。   最も効果のあるオンラインブランド保護戦略について専門家の意見を聞くためにも、年次RSAコンフェレンスにご参加ください。 MarkMonitorはブランド保護とオンライン詐欺対策の両方を組み合わせた、二重目的ソリューションに注目していきます。     MarkMonitorのソリューションについてはこちら 英語原文はこちら

フィッシング詐欺に狙われる仮想通貨

フィッシング詐欺に狙われる仮想通貨 Stefanie Ellis, Portfolio Marketing Manager, MarkMonitor   2018年10月2日 かつて、ほとんどのフィッシングメールが金融機関の「なりすまし」でした。また文面が単純だったため、簡単に見破ることができていました。   しかし現代のフィッシング詐欺は、さまざまな方法で企業、社員、消費者を狙い、攻撃経路も1つではありません。社会がオンライン処理に依存すればするほど、詐欺の手口もより巧妙かつ革新的になってきました。代表的な例は、「クリプトフィッシング」と呼ばれる、オンライン上の金銭取引に仮想通貨が利用されるようになったことで登場した新しい形のオンラインフィッシングです。クリプトフィッシングについて後述しますが、まずは仮想通貨について見ていきましょう。   仮想通貨とは何か? 本ブログを執筆している時点で、2,004種類の仮想通貨と、14,000以上の仮想通貨市場が存在します。ここで仮想通貨に関するインフォグラフィック(英語)をご覧いただけますが、知っておくべき重要な仮想通貨用語を以下にまとめます。   仮想通貨/コイン/トークン: 仮想通貨は、シンプルにトークンと呼ぶことができます。トークンは、その仮想通貨の価値を表す単位と言えます。仮想通貨トークンの所有権は、デジタル台帳(通常は、ブロックチェーン)に記録されます。   ブロックチェーン: データベースプロトコルの1つです。仮想通貨の分野において、ブロックチェーンとは、パブリックな分散型台帳で、仮想通貨の取引や残高をデジタルで記録します。暗号学的ハッシュで安全性が保たれています。すべての仮想通貨がブロックチェーンを使用しているわけではありません。ブロックチェーンは、取引台帳以外の役割も果たし、あらゆる種類の連続したデータブロックを保存することができます(ブロックチェーンや、その他のハッシュを利用したシステムの可能性は、データベースと同様に無限だと言えます)。   仮想通貨ウォレット: 仮想通貨取引を実行したり、仮想通貨アドレスに紐付けされる残高を確認するためのソフトウェアです。具体的には、秘密鍵をコントロールするウォレット内で、秘密鍵と公開鍵に紐づけられた残高にアクセスしたり、秘密鍵を使って取引を実行するためのソフトウェアです。 注意: 取引所のcustodial型(保管型)ウォレットのような特定の種類のウォレットでは、秘密鍵を管理しませんが、残高が保管される場所のアドレスを表示します。これらもウォレットと呼ばれます。   鍵(暗号鍵): 仮想通貨は、主に公開鍵暗号に基づいています。1つの鍵は公開され(公開鍵)、もう一方は公開できない(秘密鍵)ものです。公開アドレスとは、コインを送金するための公開されているアカウント番号で、秘密鍵のハッシュである公開鍵を持っています。秘密鍵は独自の個人パスワード(暗号化された秘密鍵など)で、署名をすればコインを送金できます。秘密鍵は、仮想通貨ウォレットにアクセスするときに必要なあらゆる情報の源であるため、絶対に共有しないようにしましょう。   クリプトフィッシングの仕組み クリプトフィッシングが蔓延した主な原因は、暗号鍵です。従来型の銀行口座を狙うフィッシングはセキュリティ対策をくぐり抜けて送金を行い、その後、マネーロンダリングが必要となります。仮想通貨ウォレットは匿名であるため、比較的簡単に盗むことができます。   クリプトフィッシング詐欺は高度に標的化された攻撃であり、投資利益率が高いため、詐欺師にとっては組織化するとコストが高くなります。メール内容は受信者ごとにカスタマイズされ、正規のメールのように見えます。高度に標的化されているため、検知が難しく、不審メールとして通報されない可能性があります。   クリプトフィッシングは、メール以外にも、さまざまな攻撃方法を利用しているのでさらに状況を難しくしています。クリプトフィッシング詐欺は、SNSを利用することが確認されています。たとえば、有名な正規の仮想通貨のソーシャルグループになりすました偽のSNSプロフィールで、グループ内のメンバーを標的にすることもあります。また、クリプトフィッシング詐欺は、広告ワードを購入し、有料検索エンジンの検索結果にフィッシングサイトへのリンクを載せていることも知られています。   クリプトフィッシングメールは、ウェブウォレット、仮想通貨取引、ブロックチェーンなど、あらゆる仮想通貨関連のエンティティになりすまします。脆弱性は主に、ユーザーがオンラインまたはモバイルデバイスから仮想通貨ウォレットにアクセスする際に発生します(コンピューターや外部デバイスに、ハードコードで保護された秘密鍵が保存されることが主な原因ではありません)。   上記のフィッシングの例では、フィッシングサイトが秘密鍵やニーモニックフレーズ、あるいは特定のファイル情報を要請することで、ユーザーの仮想通貨ウォレットへのアクセスを試みます。   まとめ 仮想通貨の普及に伴い、仮想通貨処理プロセスを狙うフィッシング詐欺は増加するでしょう。新たな金融手段の登場に伴い、ソーシャルエンジニアリングの被害者となり、脆弱性が生まれます。仮想通貨ウォレットのログインや秘密鍵のセキュリティを確保することが、極めて重要です。取引所、通貨、ウォレットソフトウェアは、処理を匿名化することで、フィッシングによる損害の責任を回避しています。従来型の銀行とは異なり、詐欺による損害を補償する保険はありません。   仮想通貨に関するその他の基本情報: https://cryptocurrencyfacts.com/ https://blockgeeks.com/guides/what-is-cryptocurrency/ https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp   MarkMonitorのソリューションについてはこちら 英語原文はこちら

広がるフィッシングキットのわな

広がるフィッシングキットのわな Stefanie Ellis Portfolio Marketing Manager, MarkMonitor   2018年7月10日 フィッシング攻撃による影響を見てみると、驚きのデータが飛び込んできます。MarkMonitorが実施した調査によると、2018年第1四半期のフィッシング攻撃数は、前年同期と比べ79%も増加したことが分かりました。   フィッシングが蔓延した主な理由は非常に明白です。フィッシングは成功すれば、サイバー犯罪者が違法行為に必要な顧客の機密データを手に入れる方法として、大変効果的な方法だからです。しかし、攻撃が増加した背景には、「フィッシングキット」のコモディティ化も挙げられます。このキットが登場したことで、フィッシングサイトを簡単に立ち上げることができ、サイバー犯罪者のさらなる蔓延を招いているのです。   フィッシングキットは、アーカイブフォルダー(通常は、.zipまたは.rar)で構成されています。コード、情報、グラフィックス、その他ファイルなど、必要なものがすべて含まれていて、比較的簡単にフィッシング攻撃をしかけることができてしまいます。通常は、ダークウェブ、プライベートオンラインマーケットプレイス、メッセージボードなどのどこかにあるホストにアップロードされています。   キット自体は、コーディングやフィッシングに詳しいプロのオンライン犯罪者が開発・作成していますが、ホストにアップロードされた後は、事実上、誰でも(技術的な知識がない人でも)入手でき、高度なサイバー犯罪を実行でてしまうのです。キットの普及は、今後もフィッシング攻撃が増加することを意味しています。これまで以上に広い範囲でわなをしかけ、増加するオンライン犯罪者の数に比例し、被害者の数も増えるでしょう。   MarkMonitorは、過去28カ月間で10万回以上のフィッシングキットの使用を確認しました。ひと月あたり約3,600点のフィッシングキットが見つかったという計算になります(同月内の重複を除く)。興味深いことに、サブセット内の重複を除くと、確認されたフィッシングキット数は約6万に減りました。これは、多数のフィッシングキットが使い回されていることを意味します。 サイバー犯罪者は、これらのキットが削除されたり摘発されたりしないように対策していますが、MarkMonitorはフィッシングキット関連のリスクを抑える非常に効果的な革新的テクノロジーを開発しました。MarkMonitor独自のフィッシングキット分析機能で、すべてのインスタンスを「フィッシングキットファミリー」と呼ばれる分類にまとめることで、それぞれの攻撃を特定し、フィッシングサイト閉鎖時にキットのコンテンツを除去あるいは回収する作業を容易にします。   スマートフォンのカメラで誰もが写真家になったのと同様に、フィッシングキットの登場で、悪意を持つ者なら誰もがサイバー犯罪者になることができてしまいます。世の中に出回るすべてのフィッシングキットを見つけ出すことは不可能かもしれませんが、MarkMonitorの専門知識と高度なソリューションで、貴社ブランドがマイナスの影響を受け続けることがないようサポートさせていただきます。MarkMonitorのフィッシング対策ソリューションの詳細については、こちらクリックしてください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら