最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アップル、複数の深刻な脆弱性を修正した「QuickTime 7.6.6」を公開(2010/04/01) | メイン | ◆苦情急増の「情報商材」に注意~クロネコやmixiかたり誘導するスパム出回る(2010/04/02) »

2010/04/02

◆3月の国内フィッシング事情:セゾンカード/Yahoo!/Facebook/ボットネット(2010/04/02)

 編集部では、飛来するメールやWeb上の情報をもとに、主に国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。国内に関係する2月のフィッシングサイトは、過去1年間で最低の65件だったが、3月は86件まで上昇。日本語の偽サイトも、11件から15件に増えている。

■セゾンカードをかたるフィッシング

 「2月の国内フィッシング事情」掲載直後の2月27日、「エクスプレス・トランスファー(Express Transfer)へのご請求はこちらから」という件名のフィッシングメールがばらまかれた。そこそこまともな日本語で、送金が行われるらしいことが書かれているのだが、さっぱり要領を得ない。メールには、送金の変更や取り消し用のリンクと、問い合わせ用のリンクが記載されており、どちらも同じ偽サイトへと誘導される。この偽サイト、どのリンクをクリックしてもログイン画面になるのだが、いきなりカード番号と有効期限、暗証番号を入力させようとし、次に進むとIDとパスワードを求めて来るという仕様だった。
 3月1日にはクレディセゾンが、翌2日にはフィッシング対策協議会が当該フィッシングの注意を呼び掛け、米国のレンタルサーバーに設置されてた偽サイトは、2日夕方閉鎖された。
<関連URL>
・当社を装うEメールにご注意ください!(クレディセゾン)
http://www.saisoncard.co.jp/news/contents/nc100301.html
・セゾンカードを騙るフィッシング(2010/3/2)(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert1050.html

■Yahoo!フィッシング止まず

 3月も引き続き、Yahoo!のフィッシングが観測された。昨年下半期のような連日ではなくなったが、週末から週の初めにかけて、毎週フィッシングメールがばらまかれた。手口はいずれも、アカウントの継続手続きと称して偽サイトに誘導し、個人情報やクレジットカード情報を騙し取ろうとするもの。Yahoo!のアカウントは、手続きなどせずにずっと使い続けられるので、くれぐれも騙されないようにしていただきたい。
<関連URL>
・そのメール本当にYahoo! JAPAN?(Yahoo! JAPAN)
http://security.yahoo.co.jp/qa/index.html

■偽Facebookの日本語サイト出現

 SNSといえば、国内でダントツの人気を誇るのがmixi。3月は、このmixiの登録制開始に便乗し、誘導先で怪しい出会い系サイトに空メールを送らせようとするスパムが飛び交った。海外でもSNSをダシに使ったウイルス配布やフィッシングが横行しており、昨年からはFacebookが格好のターゲットとなっている。もちろん、日本人はこの場合、蚊帳の外だったのだが、3月は珍しく日本語版Facebookの偽サイトが見つかった。

■ZeuS/Zbot系ボットネットに異変

 ボットに感染したユーザーのパソコンを操り、入れ替わり立ち替わりさまざまなブランドをかたってフィッシングやウイルス攻撃を仕掛けていた、いわゆるFast-Flax攻撃が、2月25日を境にピタリと止まった。この時期には、いろいろなボット対策が実施されたようだが、タイミングは、WaledacボットネットのC&Cサーバが閉鎖された時期と重なる。
 国内でホストされるフィッシングサイトは、不正アクセスを受けた一般サイトに設置されたものが最も多いが、国内の感染パソコンがしばしば観測されるFast-Flaxのボットネットも大きな割合を占めている。3月は、そんなボットネット系の国内ホストが全く見られない平穏な日々が続いていたのだが、3月25日頃から始まったIRS(米国税庁)を装うウイルス配布キャンペーンで、活動を再開してしまったようだ。国内からは、ISP 2社のパソコンが、停止前の2月から引き続き参加している。
<関連URL>
・Cracking Down on Botnets[英文](Microsoft On The Issues)
http://microsoftontheissues.com/cs/blogs/mscorp/archive/2010/02/24/cracking-down-on-botnets.aspx
・IRS Malspam Campaign[英文](PandaLabs)
http://pandalabs.pandasecurity.com/irs-malspam-campaign/
・New Fake IRS Email Notice Leads to ZBOT[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/new-fake-irs-email-notice-leads-to-zbot/
・Got Zbot(MSRC Blog)
http://blogs.technet.com/mmpc/archive/2010/03/11/got-zbot.aspx

■フィッシングメールの誘導先が警告サイトに

 攻撃を再開したFast-Flaxボットネットで3月28日夜、面白い光景が見られた。
 Fast-Flax攻撃への迎撃は、使われているドメイン名を次々に無効化する方法が用いられている。ドメイン名は、URLなどに使われている「so-net.ne.jp」のような文字のアドレス。IPアドレスは、実際に通信に使用する「192.168.1.1」というような数値のアドレス。ドメイン名が無効になり、ドメイン名からIPアドレスへの変換ができなくなると、メールのURLをクリックしても「サーバーが見つからない」などと言われて、偽サイトには接続できなくなる。
 ところがこの日は、使われているドメイン名が特定のIPアドレスに変換されるようになっていた。変換されるIPアドレスから名前を逆引きすると「ns1.zeustrap.info」だそうだ。メールのURLをクリックすると、この「Zeusトラップサイト」に誘導され、「Zeusマルウェアのフィッシング詐欺だよ」との警告を受ける。そこからさらに、フィッシングサイトやフィッシングメールの注意を呼びかける、米APWG(Anti-Phishing Working Group)が展開する教育プログラムサイトへと誘導される仕掛けになっていた。
 このプログラムは、フィッシング対策協議会が国内での展開を表明しており、国内でも、このような光景が見られるようになるかもしれない。ただし、試しにフィッシングメールをクリックするのは控えていただきたい。下記の「フクロウ先生のフィッシング警告ページ」が教育プログラムサイトの日本語ページなので、ご覧になりたい方は直接どうぞ。
<関連URL>
・フィッシング対策協議会が「フクロウ先生のフィッシング警告ページ」を日本で展開(フィッシング対策協議会)
http://www.antiphishing.jp/information/information1056.html
・フクロウ先生のフィッシング警告ページ
http://education.apwg.org/r/jp/index.htm

(ネットセキュリティニュース 2010/04/02)

投稿情報: 10:07 |

|