pages.devとworkers.devは、ともにCloudflareの提供する正当なWebサービスです。
これらは通常Webサイトの開発を容易にするCloudflareのPagesプラットフォームなどで使用されます。
この環境が脅威アクターの目に留まってしまいました。
- 正当なサイトに見える
これらの仕組みで動作させているサイトは、Cloudflareの提供する機器群の中で動作します。
そのため、あまたある同じようにして構築された正当なサイトとの違いは容易にはわかりません。
IPアドレスの評判情報を活用しようなどと考えたとしても、そこで使用されるものはCloudflareのIPアドレスとなっています。
脅威アクターは武器を正当なものの中に簡単に隠すことができてしまいます。 - 経路が安全
これらの仕組みで仕立てられたサイトは標準でHTTPSをサポートした状態で動作させることができます。
いまどきのWeb事情を考えるとこれはあってしかるべき特徴なのですが、これも通常利用者だけでなく、脅威アクターにも喜ばれる機能です。
HTTPSでは少なくともHTTPSをサービスする機構とWebブラウザなどの間の通信は暗号化されますので、その部分の経路上では通信の中身を検査されることがない状態にすることができます。
利用者の目さえ欺ければ攻撃を成功させることができるという状況に持ち込むことができます。 - 安全な配布場所
攻撃の中で脅威アクターは加工したドキュメントファイルを被害者に取得させます。
このときに配布元として悪用するのはMicrosoft OneDriveです。
この正規のサービスを通じてドキュメントを提供することで被害者にダウンロードしてもよいという錯覚を起こさせます。 - 資格情報の盗難
サイトの閲覧者はまだこの段階では被害者になっていませんが、いよいよ次の段階で被害者となります。
先ほどのドキュメントのダウンロードだと思ったサイトは、詐欺サイトへと繋がります。
ドキュメントのダウンロード場所がOneDriveなので、Microsoftのサインインを促されます。
もう閲覧者はドキュメントをダウンロードする気になってここまでたどり着いていますので、Microsoftの認証情報をこのサインイン画面に入力するでしょう。
しかし、このサインイン画面は詐欺サイトとなっています。
ここで入力した資格情報は脅威アクターに取得されます。
この種の脅威の検出がここのところとても増えています。
2023年からすでにこの手法は確認されていましたが、2024年により多くなってきています。
ここで書いた例はpages.devを使った脅威の話でしたが、同じように悪用されているものは他にもあります。
workers.devやsites.google.comなどです。
これらの悪用も大きく増加しています。
正当なサイトと見分けがつかない悪意あるサイトが増えてきています。
頼りすぎることは危険とも思えますが、多要素認証などを組み合わせて使用していくことは重要に思えます。
Cloudflare’s pages.dev and workers.dev Domains Increasingly Abused for Phishing
https://emailsecurity.fortra.com/blog/cloudflares-pagesdev-and-workersdev-domains-increasingly-abused-phishing
| この記事をシェア |
|
|---|
