高度化するフィッシングから守る!VirusTotalとWeb Riskを活用したセキュリティ対策とは?
- VirusTotal
- Web Risk
- セーフブラウジング
- フィッシング
本記事は、2022年4月19日に開催された Google の公式イベント「 Google Cloud Day : Digital ’22」において、 Google Cloud Japan のセキュリティスペシャリストである髙橋悟史氏とペインディヴィッド氏が講演された「フィッシング詐欺から企業ブランドを守る〜 VirusTotal と Web Risk API を使ったテイクダウンの方法を解説〜」のレポート記事となります。
今回は、企業のブランドイメージに損害を与えるフィッシングサイトの発見方法と、セーフブラウジングによるアクセス停止方法についてご説明します。また、具体的な対策として「 Virus Total 」と「 Web Risk 」についても詳しく解説しますので、ぜひ最後までご覧ください。
なお、本記事内で使用している画像に関しては、 Google Cloud Day : Digital ’22の「フィッシング詐欺から企業ブランドを守る〜 VirusTotal と Web Risk API を使ったテイクダウンの方法を解説〜」を出典元として参照しております。
それでは、早速内容を見ていきましょう。
目次
フィッシングの概要
フィッシングとは?
フィッシングとは、偽りの Web サイトにユーザーを誘導して、 ID 情報を盗んだり、マルウェアに感染させたりする犯罪手法です。近年、フィッシングの被害は増加傾向にあり、偽サイトへ誘導するためのメッセージも、本物と見分けがつかないほど高度化しています。
また、企業向けのサイバー攻撃のうち、全体の 91% はフィッシングメールから始まるとされています。メールの他にも、メッセージや SNS 、通知機能など、様々なコミュニケーションチャネルを利用して、偽のサイトへユーザーを誘導します。
スピア型フィッシング
ここで、「スピア型フィッシング」と呼ばれるフィッシング手法についてご説明します。スピア型フィッシングは高度なフィッシングのパターンであり、社員向けやお客様向けのメールを装い、フィッシングサイトへ誘導するものです。
上記の通り、スピア型フィッシングでは、とても自然に見える内容のメールが送られてくるため、ついリンクをクリックしてしまいがちです。特に赤塗り部のように、個人宛にメールが送信されている場合、リンクを開く可能性はさらに高くなります。
フィッシングサイトの例
一般的に公開されているサイトのコンテンツは、とても簡単にコピーすることができます。例えば、下図は Google のログイン画面ですが、これと同じ内容のフィッシングサイトを作ることは難しい作業ではありません。
そのため、ユーザー目線では、そのサイトがフィッシングサイトであるか否かを目視で見極めることは難しい、という点を覚えておいてください。
VirusTotal と Web Risk を活用したフィッシング対策
ソリューションの全体像
以下、 VirusTotal と Web Risk を活用したフィッシング対策の全体像を図で示します。
企業のセキュリティ担当者は VirusTotal でフィッシングサイトを発見します。そして、 Web Risk で発見したサイトの URL を API で送信し、セーフブラウジングのブロックリストに追加する、という流れです。
VirusTotal とは?
VirusTotal は、世界最大のクラウドソース脅威インテリジェンスです。ここで言う「クラウド」とは「多くの方々が協力して情報を作り上げている」という意味で使われており、70以上のセキュリティベンダーが保持しているウイルス情報を VirusTotal にすべて集約しています。
また、 VirusTotal は誰でも利用できるパブリックサービスとして提供されており、利用者が不審なファイルを VirusTotal にアップロードしてチェックを行うことで、 VirusTotal がその内容を学習し、脅威インテリジェンスとしての精度が高まっていきます。
さらに、 VirusTotal はファイルをチェックするだけではなく、ドメインや IP アドレス、 URL など、様々な情報に対してセキュリティチェックを行うことができます。以下は VirusTotal の実際の画面であり、フィッシングサイトと思われるサイトがどれくらい存在しているのか?をチェックしている例になります。
Web Risk とは?
VirusTotal で不審なサイトを発見した後は、 Web Risk を使って該当するサイトの URL を API で送信し、セーフブラウジングのブロックリストに追加します。
例えば、下図に記載のある「サブミッション API 」では、管理者が URL 情報を送信した後、セーフブラウジングのブロックリスト更新を依頼する仕組みとなっています。
Google セーフブラウジングとは?
Web Risk でセーフブラウジングの情報をアップデートすると、ユーザーが該当 URL にアクセスしようとした場合、下図のような警告を表示し、サイトへのアクセスを拒否することができます。
この Google セーフブラウジングの仕組みは Google Chrome や Firefox 、 Safari など、様々なブラウザに対応しており、全世界で40億台以上のデバイスをフィッシングの脅威から守っています。
VirusTotal のデモンストレーション
本章では、 VirusTotal でフィッシングサイトを発見する流れについて、実際の画面を使いながらデモンストレーション形式でご説明します。
フィルタ条件に一致するフィッシングサイトを見つけ出す
はじめに、フィルタ条件に一致するフィッシングサイトを見つけ出す方法をご説明します。
以下、 VirusTotal の実際の画面です。下図のように入力して、すべてのフィッシングサイトを確認してみましょう。
すると、フィッシングサイトの検索結果が一覧で表示されます。下図を見ると「44.28 M 」と記載があるため、約4,400万のサイトが該当していることがわかります。
そして、 VirusTotal では、この検索結果に対してフィルタを適用することができます。例えば、3社以上のセキュリティベンダーでフィッシング評価のあるサイトだけに絞りたい場合は、下図のように検索ウインドウの最後に「 p:3+ 」を入力します。なお、この p は英単語の positve の頭文字であり「陽性」を意味しています。
すると、検索結果の件数が「30.42 M 」に変わったことがわかります。つまり、フィルタをかけたことで該当するフィッシングサイトの数が絞られた、ということです。
また、上図で「 Status 」と表記のある部分は HTTP コードですが、表示されているサイトの大多数は「200」となっています。 HTTP コードが「200」のものは、リクエストが正常に処理されていることを意味しており、「403」や「404」など、400番台で始まる HTTP コードは、何かしらのエラーが発生していることを表しています。
VirusTotal で検出されるサイトの中には、既にダウンしているものが多く含まれているため、次は HTTP コードが200のものだけに絞ります。検索ウインドウの最後に「 url responce_code:200」を追加して、 HTTP コードのフィルタをかけてみましょう。
すると、検索結果は「 92.37 K 」となり、約9万2,000サイトになりました。
ただし、まだサイトの数が多いため、次は古いサイトをフィルタで除外します。このデモンストレーションを実施しているのは2022年4月なので、検索ウインドウの最後に「 fs:2022-04-01+」を追加して、4月に初めて公開された URL に絞ります。なお、「 fs 」は「 first scene 」の頭文字です。
すると、検索結果は「 5.33 K 」となり、約5,300サイトにまで絞り込むことができました。
このように、 VirusTotal には大量のデータが入っており、フィルタを使うことで柔軟かつ簡単に目的のフィッシングサイトを見つけ出すことができます。また、 VirusTotal はクラウドで提供されているため、常にデータが最新の状態に保たれている点もメリットの一つです。
自社ブランドを模倣しているフィッシングサイトを見つけ出す
次に、自社ブランドを模倣しているフィッシングサイトを見つけ出す方法をご説明します。
今回は、下図のような金融機関のサイトを模倣しているフィッシングサイトを例に取り、デモンストレーションを行います。
はじめに、本物のサイトの URL をコピーし、 VirusTotal に貼り付けて検索を行うと、以下の結果が表示されました。本物のサイトに対してチェックを実行しているため、当然ながら悪い評価は検出されません。
フィッシングサイトは、本物のサイトのアイコンや内容などをコピーするため、これらを検索することで対象のフィッシングサイトを見つけ出すことができます。そして、 VirusTotal でアイコンをクリックすると、そのアイコンを含むサイトの一覧が表示されます。
対象サイト数が1,000以上あるので、先程と同じように、3社以上のセキュリティベンダーでフィッシング評価のあるサイトだけに絞りましょう。すると、349サイトにまで絞り込むことができました。
なお、今回はアイコンを基にフィッシングサイトを検出しましたが、キーワードでサイトを絞り込むことも可能です。これにより、本物のサイトのコンテンツをコピーしたフィッシングサイトを見つけ出すことができます。また、キーワードだけではなく、特定の文章で検索をかけることもできるので、より精度の高いフィッシングサイト検出を実行可能です。
ドメイン情報を基にフィッシングサイトを見つけ出す
サイトが新しすぎて、フィッシングサイトとして評価されない場合には、ドメイン情報を基にした検出が効果的です。下図の例では、サイトに「 citi 」というキーワードが存在しているにも関わらず、親ドメインが citi バンクの本物のドメインではないサイトを検索しています。
すると、約2,300のサイトが検出され、 citi バンクを模倣しているフィッシングサイトを簡単に表示することができます。
将来的にフィッシングサイトになりそうなサイトを見つけ出す
ここまで、様々な条件を指定することで、フィッシングサイトを検出する方法をご紹介しましたが、 VirusTotal では、将来的にフィッシングサイトになりそうなサイトを見つけ出すことも可能です。これは「 fuzzy ドメイン検索」と呼ばれています。
例えば、下図のように入力してサイトを検索してみます。
すると、約6,200のサイトが検出されました。
現時点では、 VirusTotal 上で悪い評価は見られませんが、将来的にコンテンツが追加されたり、内容が書き換えられたりして、フィッシングサイトとして使われる可能性があるため、注意しておくと良いでしょう。
Web Risk のデモンストレーション
VirusTotal でフィッシングサイトを検出した後は、ユーザーを守るためにセーフブラウジングに提出しますが、これを実行するために Web Risk の API を活用します。
まずは API を有効にして API キーをダウンロードします。下図は Cloud Shell 環境にアップロードした例を示したものです。
「 url 」の部分にセーフブラウジングに提出したい URL が記載されていることがわかります。そして、準備ができたら curl コマンドで API を呼び出すと、その結果が表示されます。
今回は結果が「 error 」となっており、過去に誰かが同じ URL を提出したことを知らせています。では、実際にブラウザにて確認してみましょう。
すると、下図の画面が表示され、既にセーフブラウジングに提出されていることがわかります。
なお、仮にセーフブラウジングに提出されていない URL の場合は、約1時間以内に URL がセーフブラウジングに追加されます。
VirusTotal と Web Risk に関する Q&A
Q.Web Risk で不審な URL をセーフブラウジングに提出してから、どれくらいの時間で反映されますか?
A.およそ1時間以内で反映されます。
Q.本来の正しい URL を誤ってセーフブラウジングに提出した場合はどうなりますか?
A.Google がフィッシングサイトか否かを判断するため、誤って提出しても問題ありません。フィッシングサイトとして判断された場合はセーフブラウジングに登録されますし、フィッシングサイトとして判断されなかった場合は登録されることはありません。
Q.類似ドメインを取得されてしまった場合でも VirusTotal と Web Risk を使ってテイクダウンすることは可能ですか?また、悪意のある他者によって、自社ドメインがテイクダウンする可能性はありませんか?
A.VirusTotal と Web Risk がドメイン自体をテイクダウンすることはありません。あくまで対象の URL へアクセスした際にブロックするだけなので、ドメインのテイクダウンはスコープ対象外となります。
まとめ
今回は、企業のブランドイメージに損害を与えるフィッシングサイトの発見方法と、「 VirusTotal 」と「 Web Risk 」を活用したセーフブラウジングによる対策について解説しました。
昨今、フィッシングサイトの被害は増加傾向にあり、その手口は高度化しています。フィッシングサイトから自社を守るためには、いち早くフィッシングサイトを発見し、セーフブラウジングへ提出して、被害を未然に防ぐことが重要になります。
そして、これらの対策を講じる上で、 VirusTotal と Web Risk が有効なソリューションになります。どちらも専門知識は必要なく、 VirusTotal は直感的な操作で簡単かつ柔軟に目的のフィッシングサイトを発見でき、 Web Risk の API で手間なくセーフブラウジングにフィッシングサイトの URL を提出できます。
本記事を参考にして、ぜひ VirusTotal と Web Risk の活用を検討してみてはいかがでしょうか?
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!