三井住友カードを偽装したフィッシングメールにおいてリンクをクリックするとCloudflareの認証に移行するケースを確認しました。Cloudflareはコンテンツデリバリーネットワーク(CDN)やインターネットセキュリティサービスなどを提供しているアメリカの企業です。
あなたが人間であることを確認します
「平素は三井住友カードをご利用いただき、誠にありがとうこざいます」との文面ではじまる『【SMBC】三井住友カードセキュリティチェック』と題したフィッシングメール。本人が使用した取引なのか確認したい取引があったためサービスの利用を一部制限していると伝え、その確認のためと思われるリンクが貼ってあります。巧みなのはメールをした理由について、登録済みの電話番号に電話をしたが連絡がとれなかったため、登録済みのメールにメールを送信したとしていて、メールが送られてきたのはこちらの都合であると思わせてフィッシングメールだと気づかせないようにしています。
「ご本人様の確認はこちらへ」と記された部分をクリックするsmbc-card.comのドメインとともに「あなたが人間であることを確認します」と表示されたCloudflareのマークの入ったページが開きます。このページは、Cloudflareが提供しているボットを回避するサービスのページと見られ、ウェブ訪問者が人であるかどうかを確認し、迷惑なボットをブロックするためのもののようです。この認証の先のドメインはsmbc-card.comではなく「tigz.asia」というもので、このリンク先には三井住友カードを装ったフィッシングページがあるようです。
Cloudflare の信用を悪用か
メールのセキュリティをてがけるフランス発の企業、Vadeの2023年12月のブログ記事「最近のフィッシング攻撃は日本企業を狙っている」では、Cloudflareによってホストされているフィッシングページを紹介、「このフィッシングページはCloudflareによってホストされているため、プラットフォームのボット対策メカニズムの恩恵を受けることができます」と記しています。Cloudflareの認証を組み込むことでフィッシングであることを巧みに隠す狙いがあるようです。
また、TRAC labsの最近の報告によると、Cloudflareが提供するクラウド型のオブジェクトストレージサービス、Cloudflare R2を悪用したフィッシングキットによるフィッシングキャンペーンが最近、行われているようです。「Cloudflare R2 バケットは、Cloudflare の R2 ストレージ サービス内のストレージ コンテナーであり、大量の非構造化データをエグレス料金なしで保存できるように設計されています。脅威アクターは、これらのバケットに悪意のあるコンテンツやフィッシング ランディング ページをホストし、Cloudflare の信頼できる評判を利用してセキュリティ フィルターを回避することで、Cloudflare R2 バケットをフィッシングに悪用する可能性があります」とTRAC labsの報告は記しています。
三井住友カードを偽装したフィッシングメールがどのようにしてCloudflareのボット対策のサービスとリンクしているのか詳細不明ですが、日本国内に送信されているフィッシングメールとメールのリンク先の実態はまだまだ不明瞭な印象です。
■出典
https://www.cloudflare.com/ja-jp/learning/what-is-cloudflare/
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/
https://ducklingstudio.blog.fc2.com/blog-entry-393.html#google_vignette