この記事は、 NTT Communications Advent Calendar 2023 3日目の記事です。

はじめに

みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析業務をしています。

本記事では、日本を狙ったフィッシングサイトの情報配信をはじめたことについて紹介します。 セキュリティにおける情報配信について興味がある方、フィッシングについて興味がある方は、ぜひ最後まで読んでみてください。

NA4Secについて

NA4Secは、「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 また、NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有事において脅威インテリジェンスを提供し、意思決定を支援することもあります。 NTTセキュリティ・ジャパンやエヌ・エフ・ラボラトリーズからもメンバーが参画しており、いろんな人が協力して、攻撃インフラを追跡しています。

本記事で紹介する内容は、NA4Secメンバーが過去に投稿した記事と関連しているので、ぜひ読んでみてください。

サイバー脅威インテリジェンス（CTI）配信はじめました

Metemcyberについて

Metemcyberは、食生活改善のような、セキュリティ運用の健全化を提供することを目標として活動しているプロジェクトです。 良質な脅威インテリジェンスをブロックチェーン上で流通させるための、脅威インテリジェンス流通基盤を開発しています。

プロジェクトの活動の詳細については、こちらのインターンシップの記事でも紹介しています。

インターンシップ体験記 〜セキュリティ運用の健全化を目指すMetemcyberの開発〜

また、NA4Secと兄弟関係にあるプロジェクトであり、Xのアカウント(@Metemcyber)でNA4Secと協力して、脅威インテリジェンス配信をしています。

フィッシングサイトの情報配信をはじめた経緯

私がNA4Secに加入してから、フィッシングに関する脅威インテリジェンスの分析をしてきました。 フィッシングを行っている攻撃者やフィッシングキットの分析などをしていましたが、社内で閉じずに、外部向けに何かフィッシングの脅威インテリジェンスの配信もしていきたいと考えていました。

そこで、こちらのマルウェアの情報配信のときと同様、Metemcyberアカウントでのフィッシング情報配信をやっていくことになりました。

サイバー脅威インテリジェンス（CTI）配信はじめました

より多くの脅威情報を配信しつづけることで、多くの人に活用してもらえるようなり、インターネットの安全に貢献できればという思いで始めました。

投稿の目的・実現したいこと

フィッシングサイトの報告件数は年々増加しており、被害も増加しています。 フィッシングサイトの情報発信をしていくことで、サービス事業者などでフィッシング対策している担当者の方々に、活用してもらえるようになることを目的としています。 そして、フィッシング詐欺の被害の減少に少しでも貢献していくことで、NA4Secの理念でもある「NTTはインターネットを安心、安全にする社会的責務がある」を実現していきます。

実際に配信してみる

🚨⚡ #Phishing #フィッシング詐欺 #フィッシング (🇯🇵)

Brand:#SMBC #三井住友

IP:
🌍 192.252.189[.]72 (ASN:AS64050)

URL:
🎣 hxxps://www.eovmfheuk9810.com/
🎣 hxxps://www.igiaplfel5936.com/
🎣 hxxps://www.mtmckoycfqd190.com/
🎣 hxxps://www.tkurmciuvdq150.com/

H/T to Team NA4Sec pic.twitter.com/plqwdwZpPk

— Metemcyber (@Metemcyber) 2023年11月20日

配信内容は以下のようになっています。

• フィッシングのハッシュタグ
• ターゲットになっているブランド名
• IPアドレス
• URL
• フィッシングサイトのスクリーンショット

配信内容(投稿フォーマット)で工夫したこと

活用してもらいやすくするためには、必要な情報をぱっと見でわかりやすくまとめなくてはいけません。 どういった情報を記載するかについては、フィッシングサイトの情報配信をしている方々の投稿内容を参考にしました。

また、視認性を上げるために絵文字を使ったり、スクリーンショットを添付したりしています。

• 警告 → パトランプ(🚨)と雷(⚡️)の絵文字
• 国 → 国旗(🇯🇵)の絵文字
• IPアドレス → 地球(🌍)の絵文字
• URL → 釣竿(🎣)の絵文字

今後の取り組みとフィードバックについて

フィッシングサイトの情報配信で得られた知見を使って、新たなインテリジェンスを生み出していきたいと思います。 まだまだ情報配信を始めたばかりであるため、改良しつつ、フィッシングサイトの情報配信を続けていきます。 そのためにも、みなさんの意見を取り入れていきたいと思っています。

発信内容やフォーマットについてフィードバックしたい方、これ以外に何かお話ししたいことがある方は、 公式アカウント(@Metemcyber)もしくは、私のアカウント(@masaomi346)までご連絡ください。

さいごに

本記事では、日本を狙ったフィッシングサイトの情報配信をはじめたことについて紹介しました。 今後もさまざまな脅威インテリジェンスを発信していきます。 公式アカウント(@Metemcyber)をフォローしていただけると幸いです。

宣伝

NA4Sec/Metemcyberチームではそれぞれ一緒に働く仲間を募集しています。 脅威インテリジェンスに興味があり、プロジェクトの理念に共感していただける方は、ぜひ応募してみてください。

• NA4Sec(Threat Intelligence Analyst / 脅威インテリジェンスアナリスト)
• Metemcyber(Threat Intelligence Engineer / 脅威インテリジェンスエンジニア)

また、学生向けのインターンシップでは、以下のようなことを実施しました。

NA4Sec

• 攻撃者はいかにしてフィッシングサイトを隠すか？（インターンシップ体験記）
• インターンシップ体験記 〜Cobalt StrikeのC2サーバ追跡〜

Metemcyber

• インターンシップ体験記 〜セキュリティ運用の健全化を目指すMetemcyberの開発〜

学生の方で、NA4Sec/Metemcyberチームでのインターンシップに興味を持った方は、次回のインターンシップに参加してみてください。

最後まで、ご覧頂きありがとうございました！　それでは、明日の記事もお楽しみに！