自社ドメインの「偽サイト」がダークウェブで準備されている?フィッシングの予兆

メインメニューショートカット 本文のショートカット
Login
  • StealthMoleとは
  • 機能・特徴
  • 価格
  • Blog
  • FAQ
  • お問い合わせ

    • Blog

    View
    自社ドメインの「偽サイト」がダークウェブで準備されている?フィッシングの予兆
    作成日時 26/06/11 (08:52) View 188
    ダークウェブ企業セキュリティサイバー攻撃フィッシング




    企業を狙うフィッシング攻撃は、年々巧妙化しています。かつては「不自然な日本語」「怪しいURL」が目立つ攻撃が中心でしたが、現在では実在企業を精巧に模倣した偽サイトが使われるケースが一般化しています。


    しかも近年は、攻撃が表面化する前の段階から、ダークウェブ上でフィッシング用インフラが準備されていることも珍しくありません。

    たとえば、企業名に酷似したドメインが登録されていたり、ログイン画面を複製したフィッシングキットが販売されていたり、あるいは盗んだ認証情報の売買とセットで攻撃準備が進められていたりします。


    つまり、フィッシング攻撃は「突然始まる」のではなく、その前兆がすでにインターネットやダークウェブ上に現れている場合があるのです。

    本記事では、類似ドメインの登録状況、フィッシングキットの流通、そして企業が取るべき早期発見のポイントについて解説します。

     

    フィッシング攻撃は事前準備型へ変化している

    近年のサイバー攻撃は、場当たり的なものではなく、計画的な準備を伴うケースが増えています。

    特にフィッシング攻撃では、攻撃者は事前に以下のような準備を行います。

    ・類似ドメインの取得

    SSL証明書の設定

    ・偽ログインページの構築

    ・メール送信用インフラの用意

    ・フィッシングキットの導入

    ・認証情報窃取後の販売先確保


    これらは、一般ユーザーからは見えにくい場所で進行します。
    しかし、OSINTOpen Source Intelligence)やダークウェブ監視を行うことで、一部の兆候を早期に把握できる可能性があります。


    つまり重要なのは、「攻撃を受けてから対処する」のではなく、攻撃準備の段階で気付けるかどうかです。

     

    類似ドメインはフィッシングの典型的な入口

    フィッシング攻撃で最も多く使われるのが、正規ドメインに酷似した「類似ドメイン」です。

    たとえば、以下のようなパターンがあります。

    正規ドメイン

    類似ドメイン例

    example.co.jp

    examp1e.co.jp

    company.jp

    company-login.jp

    secure-example.com

    secureexamp1e.com


    一見すると違いが分からないレベルのものも多く、特にスマートフォンでは判別が難しくなります。

    攻撃者はこうしたドメインを使い、以下のようなページを作成します。

    ・Microsoft 365ログイン画面
    ・VPN認証ページ
    ・Webメール画面
    ・クラウドサービス認証ページ
    ・決済画面
    ・社内ポータル


    ユーザーが認証情報を入力すると、その情報は攻撃者へ送信されます。

    その後、盗まれたアカウントは以下の用途に悪用される可能性があります。

    ・社内侵入
    ・ランサムウェア展開
    ・取引先へのなりすましメール

    ・BEC(ビジネスメール詐欺)

    ・クラウドストレージ窃取

    ・内部情報の持ち出し


    つまり、フィッシングは単独の脅威ではなく、より大きな侵害の初期侵入として利用されるケースが多いのです。

     

    ダークウェブではフィッシングキットが売買されている

    現在のフィッシング攻撃は、技術力の高いハッカーだけのものではありません。

    ダークウェブや地下フォーラムでは、誰でも利用可能な「フィッシングキット」が大量に流通しています。


    フィッシングキットとは、偽サイトを簡単に構築できるパッケージです。

    一般的には以下が含まれます。

    ・偽ログインページ

    ・認証情報送信機能

    ・管理画面

    CAPTCHA回避機能

    MFA回避支援機能

    Telegram通知機能

    SMTP送信設定

    ・導入マニュアル


    つまり、専門知識がなくても比較的容易にフィッシングサイトを構築できる環境が整っているのです。

    さらに最近では、以下のようなサービス化も進んでいます。


    Phishing-as-a-Service    PhaaS)の拡大

    ランサムウェアのRaaSRansomware-as-a-Service)と同様に、フィッシングにも「PhaaS」が存在します。

    これは月額制や成果報酬型で利用できるフィッシングサービスです。


    利用者は以下をレンタルできます。


    ・偽サイト

    ・配信インフラ

    ・メールテンプレート

    ・被害者管理画面

    ・回避機能

    ・ホスティング


    これにより、参入障壁が大きく下がっています。

    つまり現在のフィッシングは、一部の高度な攻撃者だけではなく、比較的低スキルな犯罪者でも実行可能になっているのです。

     

    「まだ被害はない」は安全を意味しない

    企業の中には、


    「被害報告はない」
    「インシデントは起きていない」
    「社員から怪しい連絡もない」


    という理由で安心してしまうケースがあります。

    しかし実際には、以下のような状態でも攻撃準備段階である可能性があります。


    ・類似ドメインが登録済み

    ・偽サイトが公開済み

    ・フィッシングキットが販売中

    ・自社ロゴが攻撃テンプレートに含まれている

    ・自社を騙るメール文面が共有されている

    ・認証ページが既に複製されている


    つまり、「攻撃が始まっていない」のではなく、「気付いていないだけ」の可能性もあるのです。


    特に危険なのは、以下のようなケースです。


    ・ブランド力がある企業

    BtoB取引が多い企業

    Microsoft 365を利用している企業

    ・クラウド利用率が高い企業

    ・リモートワークを採用している企業

    ・サプライチェーンの中心企業


    これらの企業は、攻撃者にとって「認証情報を盗む価値」が高いため、狙われやすい傾向があります。

     

    フィッシングの予兆を把握するポイント

    では、企業はどのような兆候を監視すべきなのでしょうか。

    重要なのは、「被害」ではなく「準備段階」を見ることです。


    以下の観点が特に重要です。

     

    1. 類似ドメインの監視

    最も基本的かつ重要なポイントです。

    監視対象には以下を含めます。


    ・スペル違い

    ・ハイフン追加

    login / secure などの追加

    TLD変更(.net / .xyz / .top等)

    ・日本語ドメイン

    homoglyph(見た目が似た文字)


    特に新規登録直後のドメインは重要です。

    攻撃者は登録後すぐに利用する場合もあれば、数週間寝かせて信頼性を高めるケースもあります。


    また、SSL証明書が設定されている場合は、さらに注意が必要です。

    https化されている=安全」と誤認するユーザーが多いためです。

     

    2. 偽ログインページの検知

    次に重要なのが、自社ブランドを模倣したページの確認です。

    以下が使われていないかを確認します。

    ・ロゴ

    ・社名

    ・ログインUI

    ・デザイン

    CSS

    favicon

    ・サポート文言


    最近はAI生成を活用した自然な日本語も増えており、以前より判別が難しくなっています。

    また、一部の攻撃では以下のような中継型も確認されています。

    ・正規サイトへ一部転送

    ・一時的に本物を表示

    ・条件分岐で表示変更

    ・セキュリティ企業からのアクセス時のみ非表示


    単純な目視確認だけでは発見できないケースも増えています。

     

    3. ダークウェブ上のブランド監視

    攻撃者コミュニティでは、企業名が事前に共有されることがあります。

    たとえば以下のような投稿です。


    ・「この企業向けテンプレート」

    ・「この会社のログイン画面」

    ・「このブランド向けフィッシング」

    ・「認証情報販売」

    ・「アクセス権販売」


    これらは一般検索では見えません。

    しかし、ダークウェブ監視や脅威インテリジェンスを活用することで、攻撃の兆候を早期に把握できる場合があります。

     

    4. 認証情報流出の確認

    フィッシングの最終目的は、多くの場合「認証情報の窃取」です。

    そのため、以下の監視も重要です。


    ・社員メールアドレス

    ・パスワード流出

    ・クッキー窃取情報

    ・セッショントークン

    VPNアカウント

    Microsoft 365認証情報


    特に近年は、「Cookie窃取」によるMFA回避も増えています。

    つまり、多要素認証だけでは防ぎ切れないケースもあるのです。

     

    企業が実施すべき対策

    フィッシング対策は、単にメール訓練を実施するだけでは不十分です。

    技術的対策と監視体制の両方が必要です。

     

    ドメイン防御を強化する

    以下の導入・確認を推奨します。


    SPF

    DKIM

    DMARC

    BIMI

    DNS監視

    ・ドメイン監視サービス


    また、重要ブランドについては防御的ドメイン取得も有効です。

     

    MFAだけに依存しない

    多要素認証は重要ですが、万能ではありません。

    以下の追加対策も必要です。


    ・条件付きアクセス

    Impossible Travel検知

    FIDO2対応

    ・セッション監視

    EDR

    CASB

    ID保護


    認証後の不審行動監視も重要になります。

     

    社員教育を継続する

    ユーザー教育も依然として重要です。

    ただし、「怪しいメールに注意」だけでは不十分です。

    以下を具体的に教育する必要があります。

    URL確認方法

    QRコード型フィッシング

    MFA疲労攻撃

    ・偽Teams通知

    ・クラウド共有詐欺

    ・なりすまし請求

    攻撃手法は継続的に変化しているため、教育内容も更新が必要です。

     

    「攻撃を受ける前」に気付けるかが重要

    フィッシング対策というと、多くの企業は「受信メール対策」を想像します。

    しかし現在は、それだけでは十分とは言えません。

    本当に重要なのは、「自社を狙う準備が始まっていないか」を把握することです。

    つまり、

    ・類似ドメイン

    ・偽サイト

    ・ダークウェブ投稿

    ・認証情報流出

    ・フィッシングキット

    といった予兆を監視する視点が必要になっています。

    攻撃は、見えない場所で静かに準備されています。

    そして、被害が表面化した時には、すでに認証情報窃取や内部侵入が進行しているケースも少なくありません。

    だからこそ、企業には「事後対応」だけでなく、「攻撃準備の可視化」が求められています。

     

    ダークウェブ監視で予兆を把握するという選択

    近年は、ダークウェブ監視を活用して以下を早期発見する企業も増えています。

    ・類似ドメイン登録

    ・自社ブランド悪用

    ・認証情報流出

    ・フィッシングキット販売

    ・初期アクセス権販売

    ・攻撃予告投稿

    こうした情報を早期に把握できれば、被害発生前に対策を講じられる可能性があります。

    特に、ブランドを持つ企業やBtoB企業にとっては、「攻撃されてから知る」のではなく、「狙われ始めた段階で知る」ことが重要です。

    フィッシング攻撃の高度化が進む今、メール対策だけでなく、ダークウェブを含めた外部監視をセキュリティ戦略に組み込むことが求められています。


    StealthMoleを試してみましょう!

    ※お申し込みは法人に限定致します。個人でのお申し込みはご遠慮ください。