編集部では、飛来するメールやWeb上の情報をもとに、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。9月に観測した日本国内に関係するフィッシングサイトは、国内関連のものが大幅に増え、前月から8件増加の72件となった。
9月中に見つかった72件のうち、偽サイト本体が設置されていたものが70件あり、残り2件は、他所に設置した偽サイトにリダイレクトする中継サイトとして使われた。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが45件。ホスティングサービスの悪用が11件。自宅のサーバーやウイルスに感染したユーザーのパソコンとみられるものが2件。ボットに感染した国内ユーザーのパソコンが参加するFast Flux型のフィッシングが13件。国内の短縮URLサービスを偽サイトへのリダイレクトに悪用したものが1件だった。
短縮URLサービスを悪用した1件は、TwitterのDMを使って偽のログインページに誘導するもので、乗っ取ったアカウント使って同様のDMがばらまかれる負の連鎖が、10月に入ってからも続いている。
悪用されたブランドは、MasterCard(35件)、PayPal(8件)、Mt.Gox(6件)、BBVA(4件)ほか計16ブランド。国内関連は、MasterCard(35件)とMt.Gox(6件)、三菱東京UFJ銀行(2件)、Yahoo JAPAN(2件)、PayPal(1件)の計46件。Mt.Gox以外は全て、国内のユーザーを狙った日本語のフィッシングサイトで、国内関連のブランド数とサイト数は、ともに今年の最高値を記録した。
■Yahoo! JAPANをかたるフィシング再開
約3か月間沈黙していたYahoo! JAPANをかたるフィッシングが、9月下旬から攻撃を再開した。
6月末のフィッシング詐欺グループ摘発以来、Yahoo! JAPANをかたるフィッシングは全く観測されなくなった。これは、国内外で発生するセキュリティ問題の報告を受け付けている、JPCERTコーディネーションセンターへの報告にも表れており、先頃出た今年第3四半期のインシデント報告対応レポートでは、国内のブランドを装ったフィッシングサイトの件数が前四半期の118件から31件と74%減少。その要因として、詐欺グループの摘発により、フィッシングサイトの報告が大幅に減少したことをあげている。
Yahoo! JAPANをかたるフィッシングには数種類あるが、再開が確認されたのは、モバイル回線とダイナミックDNSを使って偽サイトを運用するタイプだ。実際には必要のない「アカウント継続手続き」と称して偽サイトに誘導し、クレジットカード情報などをだまし取る相変わらずの手口だが、休み中に偽サイトのメンテナンスを行ったようで、デザインが少し変更され、郵便番号から住所を検索する機能が付加されていた。
再開したYahoo! JAPANをかたるフィシングは、活動休止前に最も多く見られたタイプであり、攻撃の激化が懸念される。Yahoo! JAPANのアカウントには更新期限はないので、「アカウント継続手続き」と来たら偽物と思っていただきたい。
・JPCERT/CC インシデント報告対応レポート [ 2011年7月1日~2011年9月30日 ][PDF](JPCERT/CC)
http://www.jpcert.or.jp/pr/2011/IR_Report20111011.pdf
■MasterCard、2回のフィッシングで日本語偽サイト195セット検出
すっかり常態化したMasterCardのフィッシングだが、前回の8月1日の攻撃に続き、9月は月内に2回の攻撃が行われた。フィッシングサイトは、4月以降は日本語化されたものが使われているが、フィッシングメールの方は、あいかわらず英文のままだ。
9月19日からの3日間にばら撒かれた1回目のフィッシングメールでは、不正アクセスを受けた海外7か国、21の一般サイトから、日本語の偽サイト105セットを検出。9月30日からの3日間でばら撒かれた2回目のフィッシングメールからは、海外8か国、18の一般サイトから、日本語の偽サイト90セットが見つかった。
2回のフィッシングで悪用されたサイトは、合わせて39サイトだが、うち7サイトは同じサイトが再び悪用されての再設置だ。再設置された7サイトのうち3サイトは、1回目の攻撃で設置された偽サイトの撤去後に再設置されており、不正アクセスを受けた根本的な問題を解決せず、ファイルの削除だけで対処している様子がうかがえる。残り4サイトは、削除しないまま次の偽サイトが仕掛けられるという、さらに重症な放置サイト。中には、5回分のフィッシングで使用された偽サイト、計25セットが全て残っている困ったところもある。
MasterCardは、同社と提携した金融機関などが、それぞれの会員に発行するクレジットカードなので、同社からユーザーに直接連絡したり、手続きさせたりするようなことは一切ない。また、発行元がカード情報や個人情報をたずねるメールを送るようなこともないので、そのようなメールは全て偽物と思っていただきたい。
・MasterCard(マスターカード)を騙るフィッシング(2011/9/20) [10/3更新](フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/mastercard2011920.html
■三菱東京UFJ銀行をかたるフィッシング
ネットバンクの取引に必要なアカウント情報と乱数表を、丸ごと盗み取ろうとするウイルスメールやフィッシングメールが、大きな話題となっている。7月下旬からのイオン銀行、8月下旬からの三菱東京UFJ銀行に続き、10月には三井住友銀行を標的とした攻撃が行われている。これらは、添付したEXEファイルを実行させたり、偽サイトに誘導してアカウント情報などの入力を求めたりするものだが、9月半ばには「三菱東京UFJダイレクト」の偽サイトへと誘導しクレジットカード情報を入力させようとするフィッシングも観測された。
攻撃に使われたフィッシングメールは、クレジットカードの停止を知らせる英文のものや、「あなたは、新しいプライベートメッセージを持っている」という、機械翻訳丸出しの怪しい日本語のものが見つかっており、メール記載のリンクをクリックすると、クラックされた海外のWebサイトに仕掛けられたと見られる偽サイトへと誘導される。この偽サイトは、本物のサイトをコピーして作った日本語仕様だが、入力フォームの項目名などが英語表記のものと、全て日本語化されたものとが見つかった。
繰り返しになるが、クレジットカードの発行元がカード情報の入力を求めるようなメールを送ることはないので、そのようなメールは偽物と思っていただきたい。同行の場合には、メールの送信元と内容が改ざんされていないことを保証するために、メールに電子署名を付けて配信している。同行の電子署名付きメールの確認方法については、下記の「当行からお送りする電子メールのセキュリティ強化について」に、メールソフトごとの紹介があるので、参照していただきたい。
・当行を装った不審な電子メール(件名が英文)にご注意ください(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20110916.html
・当行からお送りする電子メールのセキュリティ強化について(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/mail/mail.html
■Fast Flux型フィッシングにボットネットの別派も
ボットに感染した国内ユーザーのパソコンを外部から操り、フィッシングサイトやウイルス配布サイトをホストさせる事例が、ほぼ毎月観測されている。そのほとんどは、4種類のウイルス配布サイトと3種類のフィッシングサイト、3種類のフィッシング兼ウイルス配布サイトをセットアップした、同じZeuS/Zbot系のボットネットだ。実際に攻撃に使われるのは、そのうちに1つか2つなのだが、攻撃時には常に全ての偽サイトが稼働しており、国内のパソコンが検出されることが多いため、「国内フィッシング事情」のすっかり常連になってしまった。
9月は、4~6日と17~21日の2回、このZeuS/Zbot系のボットネットによる攻撃が観測された。いずれも攻撃に使われたのは、ウイルス配布を目論むFaceBookの偽サイトだ。
国内のユーザーの元に8月、Facebookの「友達リクエスト」装う誘導メールが飛来した。誘導先の偽サイトで、Flash Playerを更新するよう指示し、ZeuS/Zbot系のウイルスをダウンロード/実行させようとするキャンペーンだ。国内ユーザー宛てのメールは9月初旬で終了したようだが、キャンペーンはその後も海外で続いており、誘導先の偽サイトに使われたIPアドレスから、国内のプロバイダ5社のアクセス回線が検出された。
9月末には、別のボットネットによる、Googleのクリック課金型の広告「アドワーズ」を装うフィッシングサイトが出現した。誘導先には「adword-googln.com」や「adwodrsmn.com」などの、サービス名を織り込んだドメイン名を使用。こちらも、ボットに感染したユーザーパソコンを次々と切り替えてホスティングして行くFast Flux型フィッシングで、稼働していた2日間に国内のプロバイダ3社のアクセス回線が検出された。
(2011/10/24 ネットセキュリティニュース)