新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

最もフィッシング攻撃されやすいブランド上位50件と、フィッシングから社員を守るために使える新しいツール

2023-03-13

4分で読了
この投稿はEnglishFrançaisDeutschEspañol简体中文でも表示されます。

組織内の誰かが、社内システムの管理者ユーザー名とパスワードを、間違ったWebサイトに送信した可能性があります。そして、まさに今、攻撃者は機密データを流出させることができるようになりました。

Top 50 most impersonated brands in phishing attacks and new tools you can use to protect your employees from them

なぜ、このようになったのでしょうか?巧妙に細工されたメールのせいです。

フィッシング攻撃の検出、ブロック、リスクの軽減は、セキュリティチームが常に直面している最も困難な課題の1つであることは間違いありません。

本日より、セキュリティセンターのダッシュボードから直接、新しいブランドとフィッシング対策ツールへのベータアクセスを開始し、組織を標的としたフィッシングキャンペーンを事前にキャッチして軽減することができます。

フィッシング攻撃への課題

ここ数カ月で最も注目された脅威のベクトルは、おそらくフィッシング攻撃でしょう。これらの攻撃は非常に高度で、検出が難しく、頻度も高くなっており、被害に遭った企業は壊滅的な被害を受ける可能性があります。

フィッシング攻撃を防ぐための最大の課題の一つは、その量の多さと、正規のメールやWebサイトを不正なものと区別することの難しさです。ユーザーが警戒していても、攻撃者がフィッシングメールやWebサイトを説得力のあるものに見せるために使用している微妙な違いを見つけるのは難しい場合があります。

例えば、昨年7月、当社のCloudflare One製品群と物理的なセキュリティキーの使用により、Cloudflareの従業員を標的とした高度なフィッシング攻撃「Oktapus」を阻止しました。100社以上の企業へ被害を及ぼすことに成功した「Oktapus」攻撃の背後にいる攻撃者は、、当社の社員に送信するわずか40分前に「cloudflare-okta.com」ドメイン名を登録しました。

当時、 安全なレジストラ製品でフィッシングドメインを特定しましたが、監視のために新たに登録されたドメインのリストを受け取るのに遅れがありました。現在、1.1.1.1リゾルバー(およびその他のリゾルバー)によって解決された新たに観測されたドメインをストリーミングすることにより、フィッシングドメインをほぼ即座に検出できます。これは有利であり、フィッシングを未然にブロックすることができます。

お客様が現在進行中の課題に対処できるよう、当社が社内で使用しているツールと同じ物をお客様にも提供することを検討しています。

Cloudflareのセキュリティセンターに新ブランドとフィッシング対策ツールが登場

Cloudflare Oneをご利用のお客様は、いわゆる「紛らわしい」ドメインを自動的に特定して—ブロックする—ことで、フィッシング保護を拡大することができます。よくあるスペルミス(clodflare.com)やサービスの連結(cloudflare-okta.com)は、攻撃者により登録させられることが多く、被害者は気付かないうちに騙され、パスワードなどの個人情報を送信させられますが、この新しいツールは、そのような試みに対する追加の保護レイヤーを提供します。

新ブランドおよびフィッシング保護ツールは、Cloudflareのセキュリティセンターの下にあり、 より多くのコントロール (監視するカスタム文字列、検索可能な過去のドメインリストなど)をお客様に提供します。Cloudflare Oneプランは、プランタイプに応じた制御、可視性、自動化のレベルでアクセスすることができます。

新ドメインのブランドマッチングとアラート表示

Our new brand protection interface

新ブランド保護機能の核となるのは、正規ブランドのフィッシング専用に作成されたホストネームを検出する機能です。まず、1.1.1.1,に対する毎日の数兆件のDNSクエリーを調査し、ドメインやサブドメインの最初の使用を監視することから始めます。CloudflareのパブリックDNSリゾルバーを利用し、初めて未開のホストネームのリストをコンパイルするためです。

このリストを使用し、意味やスペルが似ている2つの文字列を照合する技術である「ファジー」マッチングを、ユーザーが保存したパターンに対してリアルタイムで実行します。文字列を比較し、さまざまな要因(音声学、距離、部分文字列のマッチングなど)に基づいて類似性スコアを計算します。これらの保存されたパターンは、 編集距離を持つ文字列にすることができ、リスト内のドメインとの一致を検出するたびに、システムがアラートを生成します。

現在はユーザーがクエリーを作成・保存する必要がありますが、将来的には自動マッチングシステムを導入する予定です。このシステムにより、ユーザーのマッチング検出プロセスは簡素化されますが、より複雑なパターンを追跡するセキュリティチームのために、カスタム文字列は引き続き利用可能です。

履歴検索

Brand protection alerts

リアルタイム監視に加え、履歴検索(保存されたクエリー)、過去30日以内に新たに観測されたドメインに対するアラートも提供します。新しいパターンが作成されると、過去30日間の検索結果を表示し、一致する可能性のあるものを表示します。これにより、セキュリティチームは、新たなドメインの潜在的な脅威レベルを迅速に評価し、必要な措置を講じることができます。

さらに、この検索メカニズムはアドホックドメインハンティングにも使用でき、特定のドメインやパターンを調査する必要があるセキュリティチームにさらなる柔軟性を提供します。

野放し状態を監視:最もフィッシングされたブランド

これらの新ブランド保護ツールを構築する一方で、一般的にフィッシングされる幅広いブランドに対し、当社の機能をテストすることを検討しました。そのために、フィッシングURLを含むドメインが、当社の1.1.1.1リゾルバーで解決される頻度を調査しました。フィッシング攻撃であると確認できなかった共有サービス(ホスティングサイトであるGoogle、Amazon、GoDaddyなど)に使用されているすべてのドメインは、データセットから削除されました。

なりすましブランド上位50件とフィッシングで最もよく使用されたドメインは以下の表でご覧いただけます。

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Rank Brand Sample domain used to phish brand[1]
1 AT&T Inc. att-rsshelp[.]com
2 PayPal paypal-opladen[.]be
3 Microsoft login[.]microsoftonline.ccisystems[.]us
4 DHL dhlinfos[.]link
5 Meta facebookztv[.]com
6 Internal Revenue Service irs-contact-payments[.]com
7 Verizon loginnnaolcccom[.]weebly[.]com
8 Mitsubishi UFJ NICOS Co., Ltd. cufjaj[.]id
9 Adobe adobe-pdf-sick-alley[.]surge[.]sh
10 Amazon login-amazon-account[.]com
11 Apple apple-grx-support-online[.]com
12 Wells Fargo & Company connect-secure-wellsfargo-com.herokuapp[.]com
13 eBay, Inc. www[.]ebay8[.]bar
14 Swiss Post www[.]swiss-post-ch[.]com
15 Naver uzzmuqwv[.]naveicoipa[.]tech
16 Instagram (Meta) instagram-com-p[.]proxy.webtoppings[.]bar
17 WhatsApp (Meta) joingrub-whatsapp-pistol90[.]duckdns[.]org
18 Rakuten rakutentk[.]com
19 East Japan Railway Company www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net
20 American Express Company www[.]webcome-aexp[.]com
21 KDDI aupay[.]kddi-fshruyrt[.]com
22 Office365 (Microsoft) office365loginonlinemicrosoft[.]weebly[.]com
23 Chase Bank safemailschaseonlineserviceupgrade09[.]weebly[.]com
24 AEON aeon-ver1fy[.]shop
25 Singtel Optus Pty Limited myoptus[.]mobi
26 Coinbase Global, Inc. supp0rt-coinbase[.]com
27 Banco Bradesco S.A. portalbradesco-acesso[.]com
28 Caixa Econômica Federal lnternetbanklng-caixa[.]com
29 JCB Co., Ltd. www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top
30 ING Group ing-ingdirect-movil[.]com
31 HSBC Holdings plc hsbc-bm-online[.]com
32 Netflix Inc renew-netflix[.]com
33 Sumitomo Mitsui Banking Corporation smbc[.]co[.]jp[.]xazee[.]com
34 Nubank nuvip2[.]ru
35 Bank Millennium SA www[.]bankmillenium-pl[.]com
36 National Police Agency Japan sun[.]pollice[.]xyz
37 Allegro powiadomienieallegro[.]net
38 InPost www.inpost-polska-lox.order9512951[.]info
39 Correos correosa[.]online
40 FedEx fedexpress-couriers[.]com
41 LinkedIn (Microsoft) linkkedin-2[.]weebly[.]com
42 United States Postal Service uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app
43 Alphabet www[.]googlecom[.]vn10000[.]cc
44 The Bank of America Corporation baanofamericase8[.]hostfree[.]pw
45 Deutscher Paketdienst dpd-info[.]net
46 Banco Itaú Unibanco S.A. silly-itauu[.]netlify[.]app
47 Steam gift-steam-discord[.]com
48 Swisscom AG swiss-comch[.]duckdns[.]org
49 LexisNexis mexce[.]live
50 Orange S.A. orange-france24[.]yolasite[.]com

順位

ブランド

ブランドのなりすましに使用されたサンプルドメイン[1]

Example of a DNS policy rule to block confusable domains

1

AT&T Inc.

att-rsshelp[.]com

2

PayPal

paypal-opladen[.]be

3

Microsoft

login[.]microsoftonline.ccisystems[.]us

4

DHL

dhlinfos[.]link

5

Meta

facebookztv[.]com

6

Internal Revenue Service

irs-contact-payments[.]com

7

Verizon

loginnnaolcccom[.]weebly[.]com

8

Mitsubishi UFJ NICOS Co., Ltd.

cufjaj[.]id

9

Adobe

adobe-pdf-sick-alley[.]surge[.]sh

10

Amazon

login-amazon-account[.]com

11

Apple

apple-grx-support-online[.]com

12

Wells Fargo & Company

connect-secure-wellsfargo-com.herokuapp[.]com

13

eBay, Inc.

www[.]ebay8[.]bar

14

Swiss Post

www[.]swiss-post-ch[.]com

15

Naver

uzzmuqwv[.]naveicoipa[.]tech

16

Instagram (Meta)

instagram-com-p[.]proxy.webtoppings[.]bar

17

WhatsApp (Meta)

joingrub-whatsapp-pistol90[.]duckdns[.]org

18

Rakuten

rakutentk[.]com

19

East Japan Railway Company

www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net

20

American Express Company

www[.]webcome-aexp[.]com

21

KDDI

aupay[.]kddi-fshruyrt[.]com

22

Office365 (Microsoft)

office365loginonlinemicrosoft[.]weebly[.]com

23

Chase Bank

safemailschaseonlineserviceupgrade09[.]weebly[.]com

24

AEON

aeon-ver1fy[.]shop

25

Singtel Optus Pty Limited

myoptus[.]mobi

26

Coinbase Global, Inc.

supp0rt-coinbase[.]com

27

Banco Bradesco S.A.

portalbradesco-acesso[.]com

28

Caixa Econômica Federal

lnternetbanklng-caixa[.]com

29

JCB Co., Ltd.

www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top

30

ING Group

ing-ingdirect-movil[.]com

31

HSBC Holdings plc

hsbc-bm-online[.]com

32

Netflix Inc

renew-netflix[.]com

33

Sumitomo Mitsui Banking Corporation

smbc[.]co[.]jp[.]xazee[.]com

34

Nubank

nuvip2[.]ru

35

Bank Millennium SA

www[.]bankmillenium-pl[.]com

36

National Police Agency Japan

sun[.]pollice[.]xyz

37

Allegro

powiadomienieallegro[.]net

38

InPost

www.inpost-polska-lox.order9512951\[.\]info

39

Correos

correosa[.]online

40

FedEx

fedexpress-couriers[.]com

41

LinkedIn (Microsoft)

linkkedin-2[.]weebly[.]com

42

United States Postal Service

uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app

43

Alphabet

www[.]googlecom[.]vn10000[.]cc

44

The Bank of America Corporation

baanofamericase8[.]hostfree[.]pw

45

Deutscher Paketdienst

dpd-info[.]net

46

Banco Itaú Unibanco S.A.

silly-itauu[.]netlify[.]app

47

Steam

gift-steam-discord[.]com

48

Swisscom AG

swiss-comch[.]duckdns[.]org

49

LexisNexis

mexce[.]live

50

Orange S.A.

orange-france24[.]yolasite[.]com

[1] Pフィッシングサイトは通常、ルートではなく特定のURLで提供されます。例えば、hxxp://example.com/login.htmlではなく、hxxp://example.com/login.htmlのようにです。ここでは、完全なURLは記載していません。

脅威インテリジェンス機能とZero Trust実施の融合

この新機能は、当社のZero Trust製品群をご利用のお客様に、より効果を発揮します。実際、Cloudflare GatewayまたはDNSポリシーのルールを作成することで、紛らわしいドメインを検出すると、簡単にブロックすることができます。これにより、ユーザーが潜在的に悪意のあるサイトに移動したり、閲覧したりすることを即座に中止させ、攻撃を未然に防ぐことができるのです。

今後の機能強化

今回の新機能は、より広範なブランド侵害およびフィッシング対策のセキュリティのポートフォリオの始まりに過ぎません。

SSL/TLS証明書との照合

ドメインとの照合に加え、当社の証明書透明性ログである Nimbus に記録された新しい SSL/TLS 証明書との照合も予定しています。CTログを分析することで、フィッシング攻撃で使用される可能性のある不正な証明書を特定することができます。証明書は通常、ドメイン登録後すぐに作成され、HTTPSをサポートすることでフィッシングサイトの正当性を高めようとするものであるため、このような情報は有用です。

管理リストの自動作成

現在、お客様はZero Trustのブロックルールで参照されるカスタムリストの更新をスクリプトで行うことができますが、前述のように、動的に更新されるリストにドメインを自動的に追加することを計画しています。さらに、Zero Trustルールで使用できるリストに、一致するドメインを自動的に追加します(例:以下の通り)。Gatewayからのブロック。

ドメイン所有権などのメタデータの変更

最後に、ドメインの所有権や、登録者、ネームサーバー、解決済みIPアドレスなどのメタデータの変更を監視する機能を提供する予定です。これにより、お客様はご自身のドメインに関連する重要な情報の変更を把握し、必要に応じて適切に対処することができます。

利用開始

Enterpriseのお客様は、ブランド保護のベータ版へのアクセスにご登録 にいただくと、お客様のドメインのプライベートスキャンへのアクセス、クエリーの保存、一致したドメインに対するアラートの設定が可能になります。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Security WeekPhishing製品ニュース

Xでフォロー

Alexandra Moraru|@alexandramoraru
Patrick R. Donahue|@prdonahue
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...