ネットスコープ、Cloudflare Workersを悪用したフィッシング手法　透過的フィッシングとHTMLスマグリングに関する調査結果を発表

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskope（以下、ネットスコープ）の調査研究部門でありクラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、米国時間2024年5月23日、Cloudflare Workersを悪用する複数のフィッシングキャンペーンに関する調査結果を発表しました。

Netskope Threat Labsは、2023年から2024年にかけ、Cloudflare Workersにホストされた悪意あるコンテンツの標的となったNetskopeユーザーの継続的な増加の状況を追跡してきました。2024年に入り、これまでのところ標的ユーザー数は横ばいとなっていますが、ドメイン数は増え続けています。同時に、悪意あるコンテンツをホストするアプリケーションのユニーク数は増え続けており、これは検出と削除を回避するため攻撃者が絶えず新しいアプリを作っていることを示しています。

今回、2つの非常に異なる方法が用いられているため、異なる攻撃者による可能性が高いと見られます。以前Netskope Threat Labsが公開したAzorultキャンペーンに類似する一方のキャンペーンでは、HTMLスマグリングという検出回避方法を用いています。この手法はフィッシング用コンテンツをネットワーク検査から隠蔽するため、マルウェアのダウンロードによく利用されます。他方のキャンペーンでは、透過的フィッシングと呼ばれる方法が用いられています。この方法では、攻撃者はCloudflare Workersを正当なログインページのリバースプロキシサーバとして動作させ、被害者とログインページ間のトラフィックを傍受して、認証情報、クッキー、トークンを獲得します。

過去30日間で、Cloudflare Workersにホストされたフィッシングキャンペーンは、主にアジア、北米、南欧において、テクノロジー、金融サービス、銀行を中心とした複数の業界にわたる被害者を標的にしてきました。Netskope Threat Labsが発見したフィッシングページの大多数は、特にMicrosoftのログイン認証情報を対象としており、加えてGmail、Yahoo Mail、cPanel Webmailも標的としています。

マルウェアやフィッシングページなどの悪意あるコンテンツをホストするために無料のクラウドサービスを悪用することは、攻撃者の間で一般的に行われています。当社の最新の脅威統計は、いかなるクラウドアプリもそのような悪用の影響を免れないこと、また、最も人気のあるアプリにホストされた不正コンテンツが最も被害者に到達しやすい傾向があることを明らかにしています。以下、これらのキャンペーンについて詳しくご説明します。

Cloudflare Workersがフィッシングサイトを供給 

Cloudflare Workersは、訪問者へのHTMLページの提供を含む、アプリケーション配置用のサーバーレスコンピューティングプラットフォームです。無料ユーザーにも利用可能なため、無料クラウドサービスの悪用を継続的に行う攻撃者による悪用の対象となっています。攻撃者は、無料アカウントを用いて複数のCloudflare Workersアプリケーションを作成できます。これらのアプリケーションは、無料の公開ドメインと有効なTLS証明書を用いることで、被害者からのアクセスについて、一日あたり最大10万回まで対応できます。Netskope Threat Labsでは、以前、Cloudflare R2を含む他の無料サービスの悪用に関する調査結果も公開しています。

Netskope Threat Labsは、2023年第2四半期にCloudflare Workersにホストされたフィッシングページへのトラフィックの増加を初めて確認し、2023年第4四半期にはその急増を観測しました。2024年に入って以降、Cloudflare Workersにホストされた悪意あるコンテンツの標的となったユーザー数は横ばいになったと見られますが、依然、Cloudflare Workersにホストされた悪意あるコンテンツへのアクセスを試みる、フィッシングの対象となった数千ものNetskopeユーザーを四半期ごとに観測しています。

同時に、フィッシングの対象となったNetskopeユーザーがアクセスを試みている悪意あるアプリケーションのユニーク数も増加しています。各アプリケーションには、https://{application-name}.workers.devという形式のユニークなドメインが割り当てられます。下図は、ユニークなドメイン数が2023年と2024年に増加を続け、現在も伸長していることを示しています。

Cloudflare Workersで密かに配信されるフィッシングページ 

Cloudflare Workersにホストされたフィッシングキャンペーンのうち複数が、HTMLスマグリングを用いて被害者にフィッシングページを配信します。以前のブログ記事で述べた通り、HTMLスマグリングは防御回避技術の一種であり、悪意あるペイロードをクライアントサイドで組み立てることにより、ネットワーク制御の回避を試みます。当該の記事では、攻撃者は悪意あるペイロードを被害者が実行可能なようディスクに保存しました。今回の場合、悪意あるペイロードはフィッシングページそのものであり、従って攻撃者は単にペイロードを再構築してブラウザに表示します。どちらの場合でも、目的はネットワークベースの防御を回避することです。

攻撃者は、実際のフィッシングページを無害なウェブページの内部にブロブとして埋め込みました。このフィッシングページは、コードを難読化し、静的検出を回避するために、まずbase64で暗号化され、さらに複数回暗号化されます。このブロブをエンドポイントでアクセス可能にするために、攻撃者はcreateObjectURL() メソッドを用いてブロブURLを作成します。その後、click() メソッドを用いてブロブURLを疑似的にクリックします。

Cloudflare Workersにホストされた透過的フィッシング 

従来のフィッシングでは、被害者にログイン認証情報の入力を誘導するため、攻撃者は正当なログインページを模倣した独自のフィッシングページを作成していました。しかし現在、この従来のアプローチにはいくつかの問題があります。まず、攻撃者は正当なウェブサイトの外観と機能を模倣するために、フィッシングページを常に最新の状態に維持する必要があります。次に、さらに重要な点として、正当なウェブサイトが実装している多要素認証を乗り越える必要があります。

こうした従来のフィッシングが持つ欠点を解消するのが透過的フィッシングです。透過的フィッシング、または中間者攻撃フィッシングは、比較的新しいフィッシングの形態であり、攻撃者は認証するサービスと被害者を媒介するサーバーを作成します。被害者がログイン認証情報と多要素認証のコードを入力すると、透過的フィッシングサーバーはこれらを収集し、標的アプリケーションに転送することで、被害者をアプリにログインさせつつ、その過程でログイン認証情報、クッキー、トークンを収集します。また、ログインページを模倣する従来のフィッシングと異なり、透過的フィッシングページは正当なログインページと全く同じコンテンツを表示します。

Netskope Threat Labsは、透過的フィッシングページの仕組みと防御方法をより深く理解するため、Cloudflareにホストされた透過的フィッシングページの一部を模倣しました。模倣したフィッシングページ全体は、オープンソースのCloudflare MITMツールキットの改造版を用いて作成しました。攻撃者は「Hello World」Workerテンプレートを用いてCloudflareアプリケーションを構成しますが、これはaddEventListener() メソッドを用いてfetchイベントをリッスンします。被害者が攻撃者のログインページにアクセスすると、攻撃者は、HTTPリクエストメソッド、地域、IPアドレス、ヘッダーを含むウェブリクエストメタデータを収集し、それを用いて被害者の代わりに正当なページへのリクエストを送信します。

攻撃者のアプリケーションは、被害者のリクエストに対する正当なサイトからのレスポンスも収集して被害者に表示します。そのレスポンスが表示される前に、正当なサイトのドメインがアプリケーションのドメインに置換されます。

続いてアプリケーションは被害者のログイン認証情報を収集し、収集された情報はさらにCloudflare webhook通知またはHTTPを介して攻撃者に送信されます。被害者はログイン情報を入力すると正当なウェブサイトにログインし、攻撃者はレスポンスに含まれるトークンとクッキーを収集します。また、被害者がログイン後にさらにアクションを行った場合、攻撃者はこれも把握できます。

まとめ 

Cloudflare Workersは、訪問者へのウェブページの提供を含むサーバーレス機能について、ユーザーの実行を可能にするプラットフォームです。過去1年間、Netskope Threat LabsはCloudflare Workersにホストされたフィッシングページへのトラフィックの増加を追跡しており、その中には検出回避のためHTMLスマグリングを用いたキャンペーンや、MFAを回避するための透過的な中間者攻撃フィッシングページを用いたキャンペーンなどが含まれていました。Netskope Threat Labsは、引き続きCloudflare Workersアプリケーションへの悪意あるトラフィックを監視し、対処すべきフィッシングなどの悪意あるコンテンツをCloudflareに報告していきます。

推奨事項 

本記事に記述した詐欺やフィッシングページは、*.workers.devのドメインパターンによって容易に識別できます。ユーザーは、URLを確認することで、本記事に記述した攻撃の被害者となることを回避できます。銀行のポータルやウェブメールなど重要なページにアクセスする際は、検索エンジンの使用や他のリンクのクリックはせず、必ずURLをウェブブラウザに直接入力してください。

Netskope Threat Labsは、これらおよび類似のフィッシングページや詐欺から十分に身を守れるよう、セキュリティポリシーの見直しを各組織に推奨します。

• すべてのウェブおよびクラウドのトラフィックを含むHTTPとHTTPSトラフィックを検査し、ユーザーによる悪意あるウェブサイトへの訪問を防止します。Netskopeのお客様は、URLフィルタリングポリシーで既知のフィッシングと詐欺サイトをブロックし、シグネチャ、脅威インテリジェンス、機械学習を組み合わせて未知のフィッシングと詐欺サイトを特定するため脅威保護ポリシーですべてのウェブコンテンツを検査するよう、Netskope NG-SWGを設定できます。

• Remote Browser Isolation (RBI)テクノロジーを使用します。これにより、新たに観測したドメインや新たに登録されたドメインなど、より高リスクの可能性のあるカテゴリーに該当するウェブサイトへのアクセスが必要な場合に追加の保護が得られます。

IOC
上述のキャンペーンに関連するすべてのIOC（侵害指標）は、当社のGitHubレポジトリーでご確認いただけます。

本プレスリリースは、米国時間2024年5月23日に発表されたブログ（英語）をもとに作成しています。

Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド＆コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。

ネットスコープについて
SASEのグローバルリーダー企業であるネットスコープは、ゼロトラストとAI・MLのイノベーションを適用して、データ保護とサイバー脅威から組織を守ることを支援しています。高速で使いやすいNetskope Oneプラットフォームと特許取得済みゼロトラストエンジンは、場所を問わず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。数千社のお客様が、ネットスコープとその強力なNewEdgeネットワークを信頼し、リスクを削減し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティにわたって比類のない可視性を獲得しています。これにより、セキュリティとパフォーマンスをトレードオフなしに実現しています。詳しくは、netskope.com/jpをご覧ください。

本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 （合同会社NEXT PR内）
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp