最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アップル、「OS X Lion 10.7.3」「セキュリティアップデート2012-001」公開(2012/02/02) | メイン | ◆スマートフォンのワンクリック詐欺に注意~手口と対策を紹介(IPA)(2012/02/06) »

2012/02/03

◆国内フィッシング事情(1月):URLを量産するフィッシャーたち(2012/02/03)

編集部が1月に観測した日本国内に関係するフィッシングサイトは、昨年1年間で最多を記録した12月から20件減少し、74件だった。国内銀行のフィッシングサイト、国内ゲームサイトのフィッシングが続いているので、引き続きご注意いただきたい。

編集部では、飛来するメールやWeb上の情報を元に、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。

1月に観測されたフィッシングサイト74件のうち、偽サイト本体が設置されていたものは64件。残り10件は、他所に設置した偽サイトにリダイレクトする中継サイトとして使われた。

悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが65件。ホスティングサービスの悪用が5件。自宅のサーバーを使用しての開設が4件だった。悪用されたブランドは、MasterCard(20件)、Santander(8件)、CartaSi(6件)、ほか計26ブランド。国内関連は、Yahoo! JAPAN(4件)、セブン銀行(4件)、グラナド・エスパダ(3件)、MK-STYLE(1件)、Mt.Gox(1件)。

■セブン銀行のフィッシング続く

11月、12月に続いて、1月もセブン銀行をかたるフィッシングメールが不特定多数にばら撒かれた。12月のセブン銀行のフィッシングは、英文のメールを使って日本語の偽サイトに誘導し、ログインアカウントだけを詐取する、それまでとは違ったタイプだった。1月の攻撃は、日本メールで誘導し乱数表まで詐取する、一連のフィッシングと同じ手口だった。

今回の偽サイトは、米国のサーバーを使って開設された。サーバーは1台だけだが、ダイナミックDNSサービスを使用して、同じサーバーに複数のURLを割り当てて誘導していた。なお、今回のフィッシングは週末に行われたため、ブラウザのブロックやサイト閉鎖、告知などの遅れが懸念されたが、約1日で偽サイトは閉鎖されたようだ。

・セブン銀行を名乗りインターネットバンキング取引きに必要な暗証番号等をだまし取るEメールにご注意ください(セブン銀行)
http://www.sevenbank.co.jp/support/info2012013001.html

■国内ゲームサイトのフィッシングも続く

年末に始まった国内のゲームサイトのアカウントを騙し取るフィッシングが、1月も引き続き行われた。「真・女神転生IMAGINE」のフィッシングメールは、年をまたがってばら撒かれ、1月10日に偽サイトは閉鎖。このサーバーでは、引き続き「グラナド・エスパダ」の偽サイトが開設され、14日からは「MK-STYLE」の偽サイトが開設されている。

現在も稼働しているこの偽サイトに関しては、これまでのところ、それらしい誘導アドレスは報告されておらず、以前の「真・女神転生IMAGINE」に使用したアドレス(現在は全て無効化)で偽サイトの報告があがる不思議な状況だった。

一連のゲームサイトのフィッシング仕掛けているグループは、大量のドメインを取得しており、これに、本物のサイトのホスト名を組み合わせて、誘導用のURLを生成。セブン銀行とは少し手法は異なるが、こちらもURLの量産体制で攻撃に臨んでいた。特に多かったのが「真・女神転生IMAGINE」の誘導URLで、8つのドメインを投入し、40近くのURLを用意していた。

・運営事務局になりすましたメールにご注意ください【2012/1/10追記】(真・女神転生IMAGINE)
http://www.megatenonline.com/news/archive/news3555.html
・弊社を騙るフィッシングメールについて(ハンビットステーション)
http://hanbitstation.jp/news/view.asp?gm=112&cg=1&no=1060
・ハンビットステーション(グラナド・エスパダ)を騙るフィッシング(2012/1/13)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/hanbitstation_2012113.html
・MK-STYLEを騙る詐欺メールにご注意ください
https://game.mk-style.com/mkstyle_portal/view/information/informationDetail.html?reportId=0000001312

■新たな手法を採り入れたMasterCardをかたるフィッシング

フィッシャーの中には、迷惑メールフィルタなどの検出を逃れるために、このように大量のURLを用意する者も多い。2年以上にわたってえんえんと続いている、MasterCardをかたるフィッシングもそのひとつだ。

このフィッシャーは、クラックした一般サイトを使って偽サイトを開設。これまでは、1回のフィッシングに、10~20数サイトの設置場所を用意し、それぞれのサイトに5セットずつ偽サイトを仕掛けていた。20サイトを用意すると、計100個のユニークなURLが生成できるわけだ。

1月の攻撃では、これまでの手法に加え、ホスト名の量産も行われた。正規サイトのドメイン名に、適当なホスト名を付けてもアクセス可能なところ、あるいは設定可能なところを選出したようで、多いところでは、実際に8種類のホスト名を使用。編集部で確認した72通のフィッシングメールには、全て異なるURLが記載されており、これだけでも、アクセス可能なURLのバリエーションは360種類。事実上は、無限に量産できる体制だった。

なお、編集部の集計では、共有サーバーはホスト名、占有サーバーはドメイン名を、設置されたブランド別にカウントするのを基本としている。削除後の再設置は新たにカウントするが、同じサイトに同じブランドの偽サイトが大量に設置されていても、ホスト名やサブドメイン名を変えたバリエーションがいくつあっても、まとめて1件と数えている。フィッシャーの手法の違いで、フィッシングサイト数が極端に変化しないようにしており、今回ご紹介した事例のような、URL量産型のフィッシングでも、件数はそれほど大きく変化しない。ただし、共有サーバーが丸ごとクラックされた場合やドメイン名の大量投入、国内の短縮URLサービスが多用されるようなことがあると、大きく変動する可能性がある。

(2012/02/03 ネットセキュリティニュース)

投稿情報: 17:25 |

|