IPFSフィッシングが増加、キャンペーンの削除がさらに複雑に - TechRepublic

ハッカーとサイバー犯罪者は、フィッシング詐欺で個人情報、ユーザーログイン情報、パスワード、文書、メールアドレス、クレジットカード情報を盗みます。フィッシング詐欺、オンライン詐欺、窃盗。ハッカーはデスクトップに座ります。 — 画像: Adobe Stock

フィッシングを成功させるには、サイバー犯罪者は通常、フィッシングページをオンラインでホストする必要があります。被害者はそこへ接続し、認証情報やクレジットカード番号を入力して詐欺に引っかかります。

フィッシング攻撃は通常数分以内に検知されます。これは、多くの人々を標的とする傾向があり、その一部はすぐにセキュリティ企業やCSIRT（コンピュータセキュリティインシデント対応チーム）に報告するからです。これらのチームはケースを調査する場合もありますが、一般的に最優先事項はウェブコンテンツをシャットダウンすることです。そうすることで、少し後に不正なリンクをクリックした人がアクセスできなくなります。フィッシングコンテンツが削除されるまでには、数分から数時間かかる場合があります。

サイバー犯罪者が、フィッシングコンテンツをホストするためにウェブサイトを改ざんしたり、無料のウェブホスティングサービスに登録してコンテンツを保存したりすることに、膨大な時間を費やすのは、まさにこのためです。フィッシングページの可用性と稼働時間を向上させることは、サイバー犯罪者にとって間違いなく良いアイデアのように思えます。そこでIPFSが登場します。

IPFSとは何ですか?

IPFSはInterplanetary File System（惑星間ファイルシステム）の略です。IPFSは、2015年に開発された、データホスティングのためのピアツーピアネットワークおよびプロトコルです。トレントと同様の分散型システム上に構築されています。ユーザーはアドレスを介してコンテンツにアクセスでき、他のピアは分散ハッシュテーブル（DHT）を使用して、コンテンツを持つノードからコンテンツを検索してリクエストできます。

グローバル IPFS ネットワークに参加していないユーザーは、さまざまな IPFS ゲートウェイを使用してそのコンテンツにアクセスできます (図 A)。

図A

IPFS のパブリックゲートウェイのサンプルリスト。画像: ipfs.github.io。

IPFS に保存されたファイルは、次の規則を使用して一意のコンテンツ識別子 (CID) を介して取得できます。

https://<ゲートウェイ>/ipfs/<CIDハッシュ>

IPFS から要求されたファイルは、ネットワーク上の参加ノードを介して提供されます。

サイバー犯罪者にとっての IPFS の利点は何ですか?

IPFS上に置かれたフィッシングページは、通常のウェブ上にホストされているフィッシングページに比べて削除が困難です。複数のIPFSノードがコンテンツをホストできるため、フィッシングページは不確定な期間、場合によっては数か月間オンラインに残り続ける可能性があります。あるいは、どのノードもホストしなくなった場合は自然に消滅する可能性もあります。

この不正コンテンツを確実に削除するには、サイバーディフェンダーにとって通常よりも多くの労力が必要です。ファイルにつながるすべてのゲートウェイにアクセスし、キャッシュからコンテンツを削除するよう依頼する必要があるのです。

幸いなことに、コンテンツがオンラインに残っている場合でも、不正なコンテンツへのリンクは、Google セーフブラウジングなどのフィッシング対策サービスにいつでも報告できます。これらのサービスでは、リンクがすぐに悪質なものとしてフラグ付けされ、ユーザーがアクセスできないようにすることができます。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

IPFSフィッシングの例

Trustwave の SpiderLabs チームの研究者は最近、いくつかの IPFS フィッシング事件を暴露しました。

カメレオンフィッシングページは、被害者のメールアドレスに基づいて外観が変化するフィッシングページです。実際には、メールアドレスに基づいてロゴと背景コンテンツが読み込まれます（図B）。

図B

同じ IPFS フィッシング URL に、被害者の電子メールアドレスに基づいて 2 つの異なるコンテンツが表示されます。 — 同じIPFSフィッシングURLが、被害者のメールアドレスに基づいて2つの異なるコンテンツを表示する。画像：Trustwave

Trustwaveが提供した別の例では、Microsoftを装ったAzureサブスクリプションに関するフィッシングメールが示されています。このメールには、IPFSネットワーク上に実際にホストされているフィッシングページへと誘導する悪意のあるHTMLファイルが含まれています（図C）。

図C

IPFS フィッシングページに誘導する HTML 添付ファイル付きのフィッシングメール。 — IPFSフィッシングページに誘導するHTML添付ファイル付きのフィッシングメール。画像：Trustwave

ユーザーが添付ファイルを開くと、IPFSネットワーク上にホストされているフィッシングページにアクセスします。このページでは、ユーザーに連絡先リンクをクリックするよう要求し、その後、ユーザーのMicrosoft認証情報を求めるフィッシングページが表示されます（図D）。

図D

IPFS ネットワークでホストされている Microsoft のフィッシングページ。

増大し続ける脅威

IPFSは全く新しい技術ではありませんが、サイバー犯罪者による採用は予測可能な新しい現象です。新しい技術が進化するたびに、それを悪用しようとする犯罪者が現れます。

Trustwave は、過去 90 日間に IPFS を使用したフィッシング URL を含む 3,000 件以上のメールを観察したと述べ、「IPFS がフィッシング Web サイトの人気のプラットフォームになりつつあることは明らかだ」と述べています。

参照：パスワード侵害：ポップカルチャーとパスワードが混ざらない理由（無料PDF）（TechRepublic）

IPFS フィッシングに対して何ができるでしょうか?

前述の通り、IPFSはピアツーピアネットワークであるため、コンテンツの削除はより困難です。通常のウェブ上に保存されている場合、フィッシングページをホスティング会社やDNSプロバイダーに報告するだけで削除できますが、不正コンテンツを削除するにはすべてのIPFSゲートウェイへのアドレス指定が必要になります。

このようなフィッシングページがインターネットユーザーによってアクセスされるのを防ぐ最も早い方法は、そのサービスを実行しているすべてのユーザーへのアクセスをブロックするフィッシング対策サービスに報告することです。

開示：私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。