フィッシングメールの解析レポートを以前作成したので、こちらにもまとめてみました。
以前作成したものなので、情報は古いです。ご了承ください。
解析対象
今回の解析に使用するメールをご紹介します。
2022年10月29日、アプラスから「本人認証サービスに関するお知らせ」と思われるメールを受信しました。(初フィッシングメール受信!!)
一見すると送信元に不審な点は見られず、本文中のURLもaplusと書いてあるので、寝ぼけていたらリンクを押してしまいそうです。
メール解析
ヘッダーの解析
ヘッダーの解析を行うことで、実際の送信者のメールアドレスやIPアドレスを明らかにすることができます。
以下は特に着目するべきヘッダーフィールドと、解析対象メールの実際の値です。
フィールド | 詳細情報 | 実際の値 |
---|---|---|
From | メール作成者のアドレス | netstation@aplus[.]co[.]jp |
Sender | メール送信者のアドレス | aplus-update-account@whjtmc[.]shop |
Return-Path | メール配信失敗時に返送されるアドレス | aplus-update-account@whjtmc[.]shop |
Received-SPF | SPF処理の結果 | Pass (protection.outlook.com: domain of whjtmc[.]shop designates 106[.]75[.]101[.]213 as permitted sender) receiver=protection.outlook.com; client-ip=106[.]75[.]101[.]213; helo=whjtmc[.]shop; pr=C |
To | 受信者のアドレス | XXX@outlook[.]jp(マスキング済み) |
Date | メールが作成された日時 | Sat, 29 Oct 2022 20:06:04 +0800 |
Subject | メールの件名 | NETstation*APLUS]会員のお知らせ |
Message-ID | メールに割り当てられる一意のID | 20221029200611612838@whjtmc[.]shop |
以上の結果より、解析対象のメールは中国(106[.]75[.]101[.]213)から送信され、実際の送信元メールアドレスは「aplus-update-account@whjtmc[.]shop」であることが分かりました。
また余談ですが、送信元のドメイン「whjtmc[.]shop」」には、クロネコヤマトのフィッシングサイトに使用されていたドメイン「kuronekoyamato[.]whjtmc[.]shop」が紐づいていました。
ボディの解析
ボディの解析では、フィッシングサイトへのURLや添付ファイルを明らかにします。
・URL
hxxps://www[.]netaetion-aplus2[.]com/signup.php
・添付ファイル
なし
本項で明らかになったURLをもとに、次項にてフィッシングサイト調査を実施します。
フィッシングサイト調査
このメールの存在に気が付いたのが受信から2週間以上経過したあとだったため、実際にフィッシングサイトへアクセスすることはできませんでした。
そのためドメインやIPアドレス、サーバー証明書の調査のみ行いました。
情報整理
- 正規のアプラスカード会員向けページのURL
hxxps://www[.]aplus[.]co[.]jp/creditcard/netstation/index.html - フィッシングメールに添付されていたURL
hxxps://www[.]netaetion-aplus2[.]com/signup.php
以降は正規ドメインを「www[.]aplus[.]co[.]jp」、偽ドメインを「www[.]netaetion-aplus2[.]com」として進めます。
偽ドメイン調査
ほとんどの情報が「Redacted for privacy」となっていましたが、気になる情報を以下に記載します。
--------------------------------------
Domain Name: NETAETION-APLUS2.COM
Registrar: Gname.com Pte. Ltd.
Creation Date: 2022-10-28T11:59:43Z
Registrant State/Province: KYOTO
Registrant Country: JP
--------------------------------------
登録者の国情報が日本の京都となっていますが、この情報は鵜呑みできそうにないですね、、
参考:netaetion-aplus2.com-Domain name query- domain name information query- search whois (gname.vip)
IPアドレス調査
偽ドメインに紐づいているIPアドレス(96[.]62[.]102[.]104)のwhois情報等を確認します。
--------------------------------------
ASN:AS64262 - Evocative, Inc.
Registrant Name: VPLS-DAL1
--------------------------------------
urlscanという、対象URLをスキャンできるサイトで同ASNを調査したところ、複数のフィッシングサイトと思われるURLと紐づいていることが分かりました。
参考:AS64262 - EVOCATIVE4, US - urlscan.io
証明書調査
最近サーバー証明書について少々学んだので、サーバー証明書の観点からも正規サイトと偽サイトを比較してみます。
- 正規サイト
Subject DN:
jurisdictionCountry=JP, businessCategory=Private Organization, C=JP, ST=Tokyo, L=Chiyoda-ku, jurisdictionCountry=JP, O=APLUS Co.\, Ltd., businessCategory=Private Organization, serialNumber=1200-01-137521, CN=www.aplus.co.jp
Issuer DN:
C=US, O=Entrust\, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2014 Entrust\, Inc. - for authorized use only, CN=Entrust Certification Authority - L1M
Validity:
2023-01-06 05:58:15to 2024-01-06 05:58:14 (364 days, 23:59:59)
参考:
- 偽サイト
Subject DN:
CN=www[.]netaetion-aplus2[.]com
Issuer DN:
C=US, O=Let's Encrypt, CN=R3
Validity:
2022-10-28 11:08:57to 2023-01-26 11:08:56 (89 days, 23:59:59)
参考:
上記結果より、偽サイトの証明書ではLet's Encryptが使用されていることが分かります。
Let's Encryptは3か月ごとに更新しなければならないので、金銭的な理由等がない限り、長期利用が考えられるログインページへの利用は不審に思えます。
また同ドメインの証明書発行日が最も古い日付は、2022年10月28日でした。アプラスのサービス提供期間を考えると、これも不審な点であると考えられます。
レピュテーションサイトでの確認
各種レピュテーションサイトを利用して、メールアドレスや偽サイトがフィッシング目的であるか明らかにします。
PhishTank
PhishTankは、フィッシングサイトの判定や検証等ができるコミュニティサイトです。Cisco Talos Intelligence Groupによって運営されています。
偽URL「hxxps://www[.]netaetion-aplus2[.]com/signup.php」を検索しましたが、情報はありませんでした。
参考:PhishTank | Join the fight against phishing
VirusTotal
VirusTotalは、ウィルスやファイル、URLなどを分析できるサービスです。
偽ドメイン「www[.]netaetion-aplus2[.]com」を検索したところ、8つのセキュリティベンダーから悪性判定を受けており、一部はフィッシング判定を受けていることが分かります。
試しに偽URLでも検索してみましたが、Fortinetがspam判定しているのみで、一見すると不審なサイトではない・・・?と思えてしまいます。おもしろいですね。
Simple Email Reputation
Simple Email Reputationは、ドメインの寿命や公開情報などから対象のメールアドレスが危険であるか判断できるサービスです。
メールの実際の送信元アドレス「aplus-update-account@whjtmc[.]shop」で検索したところ、RISKYと表示されました。
まとめ
以上の解析・調査結果より、今回受信したメールは、アプラスを装った中国からのフィッシングメールであると考えられます。
さいごに
今回ご紹介した解析方法以外にも、様々なオンラインサービスを利用してフィッシングメールか否か判断することができます。
基本的にフィッシングメールは開かない方がいいとは思いますが、解析にご興味がある方は危険性を理解したうえで実施してみてください。
他にも有効な観点等ありましたら、ご教授いただけますと喜びます!!!