Googleのセーフブラウジングは確認されたフィッシングサイトの84%を見逃した
概要
- Huginnによるアクティブなフィッシング検出の月次レポート開始
- Google Safe Browsingによる検出率の低さが明らかに
- Muninnの自動・ディープスキャンによる高精度な検出性能
- 信頼性の高いプラットフォーム上でのフィッシング増加
- 攻撃手法の高度化と検出ツールの課題
Huginnが発見したフィッシングの現状
- HuginnによるURL監視とフィッシングサイトの特定
- 2月中に254件のフィッシングサイトを検出
- 公開脅威インテリジェンスフィードからURLを収集
- Google Safe Browsing(GSB)の検出状況
- 検出時点でGSBがフラグしたのは41件のみ
- 83.9%(213/254)がGSB未検出
- Chrome標準保護の限界を示唆
- Muninnによる自動スキャン
- **94.1%**のフィッシングサイトを自動検出
- 正規サイト9件中6件を誤検出(偽陽性)
- Muninnディープスキャン
- 全フィッシングサイトを**100%**検出(偽陰性ゼロ)
- 正規サイト9件すべてを疑わしいと判定(調査時に有用)
フィッシングのホスティング傾向
- 信頼性の高いプラットフォーム上でのフィッシング
- 58.7%(149/254)がWeebly、Vercel、GitHub等にホスト
- ドメイン全体のブロックが困難なため、ページ単位での検出が必要
- Google関連サービスの悪用
- Google Docs、Google Forms、Google Sites、Google Apps Script等で16件発見
- GSBによる検出ゼロ
- Google自身のインフラ上で発生するフィッシング
なりすまし対象ブランド
- フィッシングで狙われる主なブランド
- Microsoft(28件)が最多、次いでGoogle(21件)、Netflix(19件)、Amazon(16件)、AT&T(13件)
- 仮想通貨・DeFi関連も14件と増加傾向
- Uniswap、Raydium、pump.fun、Trezor、MetaMaskなど
- Discord等でのリンク共有による被害拡大
具体的な攻撃事例
- 二段階S3クレデンシャル収集型攻撃
- 第一段階:Amazon S3上の誘導ページでメールアドレス入力
- 第二段階:外部ドメインへリダイレクトしMicrosoftログイン画面を模倣
- 一度目のアクセス時のみ本物そっくりの画面を表示
- 二度目以降はWikipedia等にリダイレクトし、セキュリティ研究者・自動検出の回避
- セカンダリーボタンが機能しない、誤ったエラーメッセージ等で判別可能
- VirusTotalでも未検出事例あり
- Calendlyなりすまし攻撃
- 実在するAllianz社員のCalendlyページを模倣
- スケジュール後に偽Googleサインインページへ誘導
- ドメイン確認やボタンの非機能で判別可能
- カーラッピング詐欺
- 広告ラッピングで報酬が得られると謳い、個人情報を取得
- 偽小切手送付後、被害者に実費を支払わせる典型的な詐欺手法
検出ツールの限界とMuninnの役割
- Google Safe Browsingの課題
- ブロックリストベースのため、新規攻撃や信頼プラットフォーム上の攻撃には対応が遅れる
- 一度報告・審査されるまで保護が機能しない構造的制約
- Muninnの強み
- Chrome拡張機能として提供
- 常時監視の自動スキャンと調査用のディープスキャンによる多層防御
- 新規フィッシングや高度な回避手法にも対応
Muninn・Yggdrasilへの参加呼びかけ
- MuninnのChrome拡張機能の試用を推奨
- フィッシングサイト発見時はYggdrasilへの情報提供を依頼
- コミュニティによるデータ共有で全体の防御力向上を目指す