編集部では、飛来するメールやWeb上の情報をもとに、主に国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。4月に観測した国内に関係するフィッシングサイトは、30日現在58件。過去1年間で最低だった2月の65件を下回る可能性が高い。
■Yahoo!フィッシングは小休止?
国内ブランドを装うフィッシングのほとんどを占めるのが、Yahoo!のフィッシングだ。今月は、月初めからたて続けに12件の偽サイトが見つかったが、10日頃を最後にパッタリと観測できなくなった。Yahoo!のフィッシングが猛威をふるい始めた昨年5月末以降、10日前後の未検出状態は数回あっが、これほど長いのは初めて。終息したのか、ゴールデンウィークを狙って息を潜めているのか、不気味な状態が続いている。
<関連URL>
・そのメール本当にYahoo! JAPAN?(Yahoo! JAPAN)
http://security.yahoo.co.jp/qa/index.html
■ZeuS/Zbot系ボットネット、2度出陣するもほぼ瞬殺
連日のようにフィッシングやウイルス配布のFast-Flax攻撃(ドメイン名に対応するホストを次々に変えていく手法)を仕掛けていたボットネット軍団は、2月末に停止状態に追い込まれた後、3月末にIRS(米国税庁)を装うウイルス配布キャンペーンで活動を再開した。使用したドメインが片っ端から無効化されつつも、次々と新たなドメインを投入して攻撃を続けるという、いつも通りの展開が続き、約1週間で終息。4月は平静な幕開けを迎えた。
今月は、14日と20日から21日にかけての2回、IRSを装うウイルス配布が行われたが、持久戦にはならず、ドメインがひととおり無効化されて短期終了となった。先月に引き続き、国内のISP2社のパソコンが、20日からの攻撃で観測された。
■VISAとMasterCardを装う英文メールが国内ユーザーにも
今月は、フィッシング対策協議会からフィッシングの緊急情報が2回出された。いすれもクレジットカード会社を装い英語圏のユーザーを狙ったものと見られるが、22日頃からVISAの、28日頃からMasterCardのフィッシングメールが、国内のユーザーの元にも舞い込んできた。偽サイトに誘導し、住所、氏名、生年月日、メールアドレスなどの個人情報と、カード番号や有効期限などのクレジットカード情報を入力させ、騙し取ろうとする手口だ。英文のフィッシングメールなので騙される方は少ないと思うが、この手のメールを受け取ると、心配になってしまう方は少なからずいるようだ。
今回の例では、送信者欄や宛先欄を確かめるだけで、安心できるかもしれない。送信者のアドレスはいくらでも偽装できるため、本物っぽいこともあるが、今回のものは「visa@数桁の数字.com」「mastercard@数桁の数字.com」となっており、あからさまに怪しい。宛先にいたっては、メールを受け取ったあなたとは全く関係のないアドレスが記載されていたはず。身に覚えのないアドレスのメールは、開いて不安が増す前にゴミ箱へ直行だ。
同協議会からは、2月にもVISAとMasterCardのフィッシングが報告されている。このうちの2月のVISAは、前項のボットネットによるもの。そして残る3件は、一般のWebサイトに偽サイトに仕掛けられていたものだった。これら3件のフィッシングメールやフィッシングサイトには共通の特徴があり、編集部では同じ攻撃者によるものではないかと見ている。いずれも同時期に複数の一般サイト(全て国外なので編集部の集計には含まれない)に同じ偽サイトが数セットずつ設置されており、今回のVISAとMasterCardのフィッシングでは、一部に同じサイトが使われていた。
これら偽サイトが設置された一般のWebサイトが、Webアプリケーションの脆弱性を突いてクラックされたのではないかと編集部では見ているが、セキュアブレインはGumblarの攻撃手法との関連性を指摘している。
<関連URL>
・VISAを騙るフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert1065.html
・MasterCard(マスターカード)を騙るフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert1066.html
・セキュアブレイン gred セキュリティレポートVol.9【2010年3月分統計】(セキュアブレイン)
http://www.securebrain.co.jp/about/news/2010/04/gred-report9.html
(2010/04/30 ネットセキュリティニュース)