フィッシングメール解析 - セキュリティなど

フィッシングメールの解析レポートを以前作成したので、こちらにもまとめてみました。

以前作成したものなので、情報は古いです。ご了承ください。

解析対象

今回の解析に使用するメールをご紹介します。

2022年10月29日、アプラスから「本人認証サービスに関するお知らせ」と思われるメールを受信しました。（初フィッシングメール受信！！）

一見すると送信元に不審な点は見られず、本文中のURLもaplusと書いてあるので、寝ぼけていたらリンクを押してしまいそうです。

メール解析

ヘッダーの解析

ヘッダーの解析を行うことで、実際の送信者のメールアドレスやIPアドレスを明らかにすることができます。

以下は特に着目するべきヘッダーフィールドと、解析対象メールの実際の値です。

フィールド	詳細情報	実際の値
From	メール作成者のアドレス	netstation@aplus[.]co[.]jp
Sender	メール送信者のアドレス	aplus-update-account@whjtmc[.]shop
Return-Path	メール配信失敗時に返送されるアドレス	aplus-update-account@whjtmc[.]shop
Received-SPF	SPF処理の結果	Pass (protection.outlook.com: domain of whjtmc[.]shop designates 106[.]75[.]101[.]213 as permitted sender) receiver=protection.outlook.com; client-ip=106[.]75[.]101[.]213; helo=whjtmc[.]shop; pr=C
To	受信者のアドレス	XXX@outlook[.]jp（マスキング済み）
Date	メールが作成された日時	Sat, 29 Oct 2022 20:06:04 +0800
Subject	メールの件名	NETstation*APLUS]会員のお知らせ
Message-ID	メールに割り当てられる一意のID	20221029200611612838@whjtmc[.]shop

以上の結果より、解析対象のメールは中国（106[.]75[.]101[.]213）から送信され、実際の送信元メールアドレスは「aplus-update-account@whjtmc[.]shop」であることが分かりました。

また余談ですが、送信元のドメイン「whjtmc[.]shop」」には、クロネコヤマトのフィッシングサイトに使用されていたドメイン「kuronekoyamato[.]whjtmc[.]shop」が紐づいていました。

ボディの解析

ボディの解析では、フィッシングサイトへのURLや添付ファイルを明らかにします。

・URL
hxxps://www[.]netaetion-aplus2[.]com/signup.php
・添付ファイル
なし

本項で明らかになったURLをもとに、次項にてフィッシングサイト調査を実施します。

フィッシングサイト調査

このメールの存在に気が付いたのが受信から2週間以上経過したあとだったため、実際にフィッシングサイトへアクセスすることはできませんでした。

そのためドメインやIPアドレス、サーバー証明書の調査のみ行いました。

情報整理

正規のアプラスカード会員向けページのURL
hxxps://www[.]aplus[.]co[.]jp/creditcard/netstation/index.html
フィッシングメールに添付されていたURL
hxxps://www[.]netaetion-aplus2[.]com/signup.php

以降は正規ドメインを「www[.]aplus[.]co[.]jp」、偽ドメインを「www[.]netaetion-aplus2[.]com」として進めます。

偽ドメイン調査

偽ドメインのwhois情報を確認します。

ほとんどの情報が「Redacted for privacy」となっていましたが、気になる情報を以下に記載します。

--------------------------------------

Domain Name: NETAETION-APLUS2.COM

Registrar: Gname.com Pte. Ltd.

Creation Date: 2022-10-28T11:59:43Z

Registrant State/Province: KYOTO

Registrant Country: JP

--------------------------------------

登録者の国情報が日本の京都となっていますが、この情報は鵜呑みできそうにないですね、、

参考：netaetion-aplus2.com-Domain name query- domain name information query- search whois (gname.vip)

IPアドレス調査

偽ドメインに紐づいているIPアドレス（96[.]62[.]102[.]104）のwhois情報等を確認します。

--------------------------------------

ASN：AS64262 - Evocative, Inc.

Registrant Name: VPLS-DAL1

--------------------------------------

urlscanという、対象URLをスキャンできるサイトで同ASNを調査したところ、複数のフィッシングサイトと思われるURLと紐づいていることが分かりました。

参考：AS64262 - EVOCATIVE4, US - urlscan.io

証明書調査

最近サーバー証明書について少々学んだので、サーバー証明書の観点からも正規サイトと偽サイトを比較してみます。

正規サイト

Subject DN:
jurisdictionCountry=JP, businessCategory=Private Organization, C=JP, ST=Tokyo, L=Chiyoda-ku, jurisdictionCountry=JP, O=APLUS Co.\, Ltd., businessCategory=Private Organization, serialNumber=1200-01-137521, CN=www.aplus.co.jp

Issuer DN:
C=US, O=Entrust\, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2014 Entrust\, Inc. - for authorized use only, CN=Entrust Certification Authority - L1M

Validity:
2023-01-06 05:58:15to 2024-01-06 05:58:14 (364 days, 23:59:59)

参考：

https://search.censys.io/certificates/0164e7f3027bd00527ff3b19381a30ed07eb21f175e80969b9031a7ec7cb14df