kakao ログイン画面に偽装した Web ページ

ASEC 分析チームは最近、kakao ログインページに偽装して特定人物の個人情報を窃取しようとしている状況を確認した。ユーザーがこのページに初めて接続する正確な流入経路は確認できていないが、フィッシングページを通して接続されるページで Web ログインを誘導しているものと推定される。

Web ページに接続すると、以下の図1のように kakao アカウントの ID が自動入力されている。kakao メールがある場合、メールの ID さえ入力するとログインできる kakao ログインページの正常なフォーマット図2と同じように製作されている。

ASEC 分析チームでは継続的に対北朝鮮関連のモニタリングを行ってきており、これをベースにこのような正常なフォーマットの特徴を通してこの ID が「kakao.com」または「hanmail.net」メールアカウントで使用される可能性を考慮すると、自動入力される ID と関連のある貿易 / マスコミ / 対北朝鮮の人物と機関をターゲットにしているものと推定される。

ログイン画面で自動入力されている一部のアカウントについて推定される情報は以下の通りである。

• a***d : 大学教授
• ya***2 : 放送局記者
• sh***her : 対北朝鮮産業支援団体

以下の図4のようなログインページの URL アドレスも accountskakao で始まるため、Web ページに接続されるユーザーはそのままパスワードを入力してしまう可能性が非常に高い。

• (正常) : https://accounts.kakao.com
• (不正) : hxxp://accountskakao.pnbbio[.]com , hxxp://accountskakao.koreawus[.]com

特に、確保したログインページのうち一部の URL は、一定の期間をおいてユーザーの ID を変更してログインを誘導する状況が確認されたが、hanmail.net と同じ ID を使用する可能性を考慮すると、マスコミ記者のアカウント情報を確保するためにターゲットにしたものと推定される。ログインを試みると、以下のように攻撃者が作成したサーバーに GET メソッドを通して ID とパスワードが流出する。

このようにユーザーを欺くために精巧に作られたログインページが確認されたため、信頼できない送信元からのメールの閲覧は特に注意しなければならない。また、ネットサーフィンの過程で他のアプリケーションと連携されているもののログインが必要な場合、アクセスしたページの URL が正常なドメインであるかを、正確な URL アドレスの確認および認証書などを通して判断してからアクセスすることを推奨している。

V3 では本ブログで言及したドメインを遮断している。

[IOC]
hxxp://accountskakao.pnbbio[.]com
hxxp://accountskakao.koreawus[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。