編集部では、飛来するメールやWeb上の情報をもとに、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。
7月に観測した日本国内に関係するフィッシングサイトは、前月から2件増加し39件だった。うち、偽サイト本体が設置されたものが35件。他所に設置した偽サイトにリダイレクトする、中継サイトとして使われたものが4件だった。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが18件、ホスティングサービスの悪用が9件、国内ユーザーのパソコンが参加するFast Flux型のフィッシングが12件だった。
悪用されたブランドは、PayPal(11件)、Bank of America(3件)ほか計17ブランド。日本語のフィッシングサイトは、@NetHome(2件)とYahoo! JAPAN(1件)の計3件だった。
■Yahoo! JAPANをかたるフィッシングが活動停止中
Yahoo! JAPANをかたるフィッシング詐欺団が6月末に摘発された影響からか、同ブランドをかたるフィッシングが激減した。同ブランドをかたるフィッシングは、複数のグループが仕掛けていたとみられるが、7月に稼働が確認された偽サイトは、摘発直後の週末に観測された1件のみで、その後はすっかり鳴りを潜めている。
稼働が確認された偽サイトは、たまに出没するタイプで、最も活発に活動していたモバイル回線とダイナミックDNSを使った偽サイトに関しては、6月28日昼ごろを最後に消息を絶ったままだ。摘発によって活動停止に追い込まれたのか、自粛中なのかの判断はつかないが、ひとまず平穏な状態を取り戻している。
■メールアカウントを狙うフィッシング
メールアカウントをだまし取ろうとするフィッシングは、毎月頻繁に発生している。GmailやYahoo!メール、Windows Liveメールなど、特定のブランドに絞ったものもあれば、複数のブランを掲げたもの、偽サイトを見ただけでは特定できないものなど、多種多様なものがある。
7月には国内ユーザーの元にも、「New Important Email」という件名で、「親愛なるウェブメールのユーザー」で始まり「心から」で終わる、機械翻訳丸出しの日本語メールが飛来している。「ここにログイン」のリンクをクリックすると、米国やスウェーデンに置かれた本物そっくりのログイン画面に誘導し、メールアカウントを入力させた後、本物のサイトへとリダイレクトする。クレジットカード情報などの入力は一切求めず、メールアドレスとパスワードだけをだまし取ろうとするものだ。フィッシングメールなどのスパム送信に悪用するための、アカウント収集なのかもしれない。
■ボットをばら撒くFast Flux型攻撃
ボットに感染したユーザーのパソコンを操り、フィッシングやウイルス配布を行うFast Flux型の攻撃が、前月に続き確認された。1回目の攻撃は7月28日頃から始まり、29日に無効化されるまでの間、ボットネットに組み込まれていた国内ユーザーのIPアドレスが3個検出された。2回目は7月31日から始まって2日現在も稼働しており、これまでに、国内ユーザーのIPアドレス10個が検出されている。
このボットネットは、3ブランドのフィッシング、4ブランドのウイルス配布、3ブランドのフィッシング兼ウイルス配布の計10ブランドの偽サイトをホストしている。今回の攻撃は6月と同様、Zeus/Zbot系のウイルスに感染させる「ArchivosPC」の偽サイトの運用が主体で、感染するとパソコンがボットネットに仲間入りしてしまうなど、さまざまなウイルスをインストールされしまうおそれがある。
(2011/08/02 ネットセキュリティニュース)