こんにちは、ゆるいぞITチャンネルです。
それでは今回はフィッシングメールやSMSに添付されている不審なURLの安全性(安全 or 危険)について確認してみたいと思います。
基本的に怪しそうなメールやSMSは無視するのが一番ですが、「なんか怪しいけど判断に迷うなぁ…」という場面もあったりしないでしょうか?
そんな時に添付されているURLが「危ないものなのか?」、もしくは「安全なのか?」というのを確認する方法になります。
※Youtubeでは動画版をご視聴いただけます。
- ハッキングスキルについて知りたい
- セキュリティの知識を学習したい
- ITインフラの知識を学習したい
※実務や演習等を除き、インターネット上のサーバへクラッキングすることは違法行為となりますのでご注意ください。
1.不審なメールやSMSの概要
まずは怪しいメールやSMSがどういったものなのかサンプルを見てみましょう。
これは「引き落とし日のご案内」ということで、クレジットカードの請求額の通知メールになります。
クレジットカードを利用しれいてば毎月くるメールなので、ご存じの方も多いのではないでしょうか。
本来であれば添付されているURLをクリックすると、カード会社の公式サイトに転送されて利用明細など確認できるというものになっています。
例えば、これがフィッシングメールだとすると…
メール内のボタンをクリックすることで偽のサイトへ転送(誘導)されて、アカウント情報(ユーザ名・パスワード)や個人情報(住所・氏名・電話番号など)を盗まれてしまうというものになっています。
SMSで実際に連絡がきたものだと「クレジットカードの利用制限の連絡」、「荷物の不在連絡」などが上げられます。
このように一目見て怪しいなぁ…というものもあれば、上手く偽装されていて分からないものもあるので、知識や経験がないと見分けがつかない場合もあったりします。
2.添付されているURLの確認方法(安全 or 危険)
それでは「不審なメールやSMSに添付されているURLの確認方法」について見ていきましょう。
今回は”レピュテーションサイト”と呼ばれる「自分の代わりに代理で怪しいURLにアクセスしてくれるサービス」を使ってみたいと思います。
要するの対象のURLが安全なのか?、それとも危険なのか?ということを判定してくれるサイトになります。
「agus」という調査用のサイトがあるので、そちらで試してみます。
調査したいサイトのURLや受信したメールのメールヘッダーを入力することにより、関連する情報を表示してくれるサイトになっています。
Googleのアドレス(google.com)を入力して「調べる」ボタンを押します。
そうすると指定したURLの調査結果が色々と表示されます。
このURLは”問題です” or ”問題ありません”という判定を明示的にしてくれる訳ではないので、表示された調査結果を元に自身で判断していきます。
判断するポイントがいくつかありますので、下記の例を参考にしてみてください。
※表示結果が誤っている可能性もありますのでご注意ください。
検出されたマルウェア
この項目ではサイト(URL)にアクセスした際のマルウェアの検出結果が表示されます。
サイト(URL)に問題なければ「検出されませんでした」という結果になります。
もし、アクセスしたサイトにマルウェアが仕込まれていた場合は「問題のあるサイト(URL)」ということになります。
サーバー証明書
Googleのように、運営がしっかりしているサイトは「サーバー証明書」というものを使用しています。
「証明書が使用されていない」、「証明書が期限切れです」といった結果になった場合は怪しいサイト(URL)かもしれないという判断になります。
ドメイン情報
ドメイン情報というのは大まかに言うと”URL”のことになります。
Googleなら「www.google.com」、Yahooなら「www.yahoo.co.jp」がドメイン名と呼ばれる部分になります。
例えば、Googleの偽物を装ったURLだった場合…
- geegle.com : 類似する文字列(geegle)を使用している
- google.temp.com : 別な文字列(temp)が含まれてる
- google.xyz : 異なるトップレベルドメイン(xyz)が使用されている
偽サイトの場合、ドメイン名を似せてくる傾向にあるので、このように一目見ただけでは気づきにくいURLになっている場合があります。
ブラックリストの判定結果
ここで言うブラックリストというのは「このURLは危険な可能性があります」という情報が纏まったリストのことになります。
左側に記載されている企業や団体がブラックリストを提供しており、その情報を元に「危ないサイトか?、そうでないサイトなのか?」というのを判断しているようです。
ブラックリストに載ってなければ「SAFE」、要注意サイトとしてリストに載っていれば「caution」という結果になります。
3.不審なURLを使っての確認
先の説明から、ある程度判断するポイントが理解できたと思いますので、実際にフィッシングメールで送られて来たURLを使って確認してみましょう。
GitHubに”JPCERT/cc”に報告されたフィッシングURLのリストが纏まっているので、その中からいくつか試してみたいと思います。
※リストは誰でも参照できますが、全て怪しいサイトのURLになるので使用する際は十分にお気をつけください。
Amazon
まずは皆さんもよく利用すると思う”Amazon”の偽サイトを見てみましょう。
正規のドメインに別な文字列(alsfs)をいれてくるパターンになります。
調査結果を見てみると…
- マルウェアの検出 : なし
- サーバー証明書 : 証明書の有効期限が切れています / amazon.alsfs.com のサーバー証明書ではありません
- ドメイン情報 : alsfs.com
このサイトはサーバー証明書やドメイン情報がAmazonのものではないので偽サイトということが分かります。
こういった流れで正規のサイトか、偽サイトかを判断していくような感じになります。
次の怪しいサイトを見てみましょう。
調査結果としては先ほどのサイトと同じように…
- マルウェアの検出 : なし
- サーバー証明書 : 証明書の有効期限が切れています
- ドメイン情報 : .com.in
この時点で既に怪しいサイトということは分かりますが、一番怪しい部分は「外部と接続するオブジェクト」という項目になります。
これは「.com.in」という怪しいサイト内に載っているリンクのことを指しています。
更にカテゴリが「script」となっているので、このリンクをクリックすると何かしらのスクリプトが実行されるということを示しています。
スクリプトの説明については過去の動画でも解説していますが、そのリンクをクリックすることで「自分が意図しない処理が勝手に実行される」というプログラムになっています。
詳しく知りたい方は過去の動画をご参照ください。
ということで、このサイトも調査結果から十分怪しいということが分かります。
楽天カード
次は楽天カードの偽サイトになります。
調査結果を見てみると…
- マルウェアの検出 : なし
- サーバー証明書 : 証明書の有効期限が切れています / amazon.alsfs.com のサーバー証明書ではありません
- ドメイン情報 : alsfs.com
URLがめちゃくちゃな文字列ということも引っかかりますが、ブラックリストの判定結果で「caution」となっていることが分かります。
なので、このサイトは99.999%怪しいサイトということが判断できます。
警視庁
警視庁を語った偽サイトというのもありました。
警視庁のサイトなのに”https”で暗号化されておらず、ドメインがありません。(もちろんサーバ証明書も無し…)
サーバの位置情報はカリフォルニアとなっており、警視庁が海外拠点のサーバーを使うということは無いですね。
極めつけはブラックリストで「caution」となっているので、このサイトも99.999%怪しいサイトということが判断できます。
4.最後に
ということで今回はフィッシングメールやSMSに添付されているURLの確認方法について見てみました。
冒頭でも言いましたが不審なメールやSMSは無視するのが一番なので、対策としては何もせずスルーことが基本になります。
どうしても確認が必要な場合のみ、今回の方法でチェックしてみると良いかと思います。
ということで、今回はここまでにしたいと思います。
それではまた次回お会いしましょう!
