![AppleStoreのフィッシングサイト調査メモ](http://csirt.ninja/wp-content/uploads/2016/06/04-1.png)
AppleStoreのフィッシングサイトへ誘導するフィッシングメールが先週末頃に多く送信されていたようです。
Appleのフィッシングサイトはかなり多く作成される傾向にあるのですが
今回のものは若干不自然な点もあるもののメールも誘導先のサイトも日本語で表記されていました。そのため騙されてしまう方も少なからずいるかと思いましたので調査してみましたのでその結果を共有します。
送信されてくるフィッシングメールとフィッシングサイトは下図の通りです。
メールに記載されている「マイアカウント確認 >」の部分がリンクになっておりこちらをクリックするとフィッシングサイトへ誘導されるという仕組みになっています。ここをクリックするとアクセスするURLは[http://bit.ly/Appelverified]であり短縮URLサービスのbit.lyが利用されています。短縮URLでは末尾の部分がランダムな文字列になるのですが、こちらのリンクは[Appelverified]と単語の組み合わせのようになっています。
これはbit.lyの[EDIT BTLINK]の[COSTOMIZE]機能を利用していると思われます。下図はこのブログの短縮URLを[COSTOMIZE]してみた際の画面です。
こちらの機能は無料で利用することも可能なようでした。
リンク先になっていた短縮URLを展開すると下図のようになりました。
誘導先サイトはサブドメインを含めると[https://appleid-team-d489a3289ecdc.ready-romoved.direct]というものでしたが上図のURLとは一致しません。上図のアドレスは恐らく、フィッシングサイトがテイクダウン(停止)されたときのために新たなサイトに誘導するためのリダイレクタであると考えられます。このようにすることでフィッシングサイトがテイクダウンされたとしてもリダイレクタが生きている限り、新たにメールを送信することなくメールの宛先のユーザがリンクをクリックし、リダイレクタに到達してくれればフィッシングサイトに誘導し続けることができます。
ちなみに、このフィッシングメールが送信された当初は前述したフィッシングサイトのアドレスではなく下記ツイートにあるようなドメインへの誘導でした。
アップルストアのフィッシングサイトだそうですよ。 pic.twitter.com/8KRgeK3j7R
— nobuhiro tsuji (@ntsuji) 2016年6月10日
このブログエントリ作成時のものとは異なっていることが分かるかと思います。
ツイート内にあるURLにアクセスしたところ下図のような状態でした。
ブラウザにはフィッシングサイトであると検知されており、サイト自体もアクセスできない状態になっているためテイクダウンされたか、ブラウザによる検知によって誘導する効率が下がったことからサイトを停止し、リダイレクタのリダイレクト先を変更したと考えられます。
このブログエントリ作成時にメール内にあるリンクをクリックした際のアクセスは下図の通りでした。
また、リダイレクトは下図のように行われていました。
フィッシングサイトそのものは、httpsから始まるアドレスでした。
証明書に関する情報は下図の通りです。フィッシングメールが送信された日付が2016年6月10日ですので同日に発行された証明書を利用していることが分かります。
また、フィッシングサイトそのもののソースは下図左の通りで検索で見つけられないようにするためか暗号化が施されていました。
フィッシングサイトにアクセスするとソース内から呼ばれているJavaScriptファイルを利用して復号し表示するという仕組みのようです。下図右は復号に用いられていると考えられるJavaScriptです。
次にフィッシングサイトにID、パスワードを入力するとどうなるかということですが、適当な文字列をボタンをクリックすると下図左のように「請求先住所」を入力する画面が表示されました。さらに続けて入力を行いボタンをクリックすると次に下図右のようなクレジットカード情報を入力画面へと遷移します。
上記画面に情報を入力すると下図左のように処理が行われているかのように見せかけるページが表示され、暫くすると下図右のように処理が成功したという画面が表示されます。
そして、しばらくすると本物のアップルのUSサイトへリダイレクトされました。
最後に今回の調査で判明した情報のまとめは下表の通りです。
項目名 | 内容 | 備考 |
メール内のリンクURL | http://bit.ly/Appelverified | |
リダイレクタURL | http://mag.highresaudio.com/appel.php | |
フィッシングサイトURL | https://jp-appel.com/clients/?6a702d617070656c2e636f6d | httpでもアクセス可 |
フィッシングサイトURL | https://appleid-team-d489a3289ecdc.ready-romoved.direct/clients/?6170706c6569642d7465616d2d643438396133323839656364632e72656164792d726f6d6f7665642e646972656374d | httpでもアクセス可 |