3月に観測された日本国内に関係するフィッシングサイトは69件だった。国内では、オンラインバンキングやオンラインゲーム、SNSなどのサービスのアカウント情報と、クレジットカード情報が狙われることが多い。定番となっているフィッシングの手口を知って、危険を回避していただきたい。
■3月の国内フィッシング事情
編集部では、飛来するメールやWeb上の情報を元に、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。3月に観測した日本国内に関係するフィッシングサイトは、大幅な減少をみせた2月から26件増え、69件だった。
69件のうち、偽サイト本体が設置されていたものは52件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは17件だった。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが52件(国内のサイト47件)、ホスティングサービスの悪用が9件(国内サーバー4件)、ウイルスに感染したユーザーのパソコンや自宅のサーバーとみられるものが5件(全て国内)、短縮URLサービスなどを中継に悪用したものが3件(全て国内)だった。
悪用されたブランドは、PayPal(10件)、CartaSi(5件)、MasterCard(5件)、真・女神転生IMAGINE(5件)ほか計27ブランド。国内関連は、MasterCard、真・女神転生IMAGINE、Yahoo! JAPANの3ブランド10件を確認したほか、新生銀行をかたるフィッシングが見つかったとの注意喚起が、同行とフィッシング対策協議会から出されている。
・新生銀行を装った詐欺メール・詐欺サイトについてのご注意(新生銀行)
http://www.shinseibank.com/news/news111121_secure.html
・新生銀行をかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/20120329shinseibank.html
・フィッシング詐欺にご注意ください(真・女神転生IMAGINE)
http://www.megatenonline.com/news/archive/news3711.html
・真.女神転生IMAGINE をかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/imagine_20120402.html
■国内のユーザーを狙う定番フィッシング
国内のユーザーにターゲットを絞ったフィッシングは、オンラインバンキングやオンラインゲーム、SNS、プロバイダメールといったサービスのアカウント情報と、クレジットカード情報がよく狙われる。3月に行われた事例では、「真・女神転生IMAGINE」「新生銀行」がアカウントの詐取を目的としたもの、「MasterCard」「Yahoo! JAPAN」がクレジットカード情報の詐取を目的としたものだ。
国内のユーザーを狙うフィッシングは、少数の攻撃者またはグループが、同じブランドや同種のブランドに対し繰り返し仕掛けているものが大半を占めているようで、悪用するブランドや手口にかなりの偏りがある。以下に、現在も暗躍している主なフィッシングを示す。傾向を把握し、危険回避の一助としていただきたい。
<オンラインバンキング>
いろいろな銀行をかたり、不特定多数にフィッシングメールを送付する。偽サイトに誘導し、ログインアカウントおよび手続きに必要な第二パスワードや乱数表を全て入力させようとする。騙されると、成りすましログインによって、口座から不正送金されるおそれがある。昨年から、ターゲットの銀行を変えながら、ほぼ毎月フィッシングを仕掛けており、不正送金の被害が多数出ている。サイトに誘導するタイプのほかに、メール自体が入力フォームのものや、添付ファイルを開いて入力させる手口も使われる。
<オンラインゲーム>
いろいろなオンラインゲームの運営をかたり、不特定多数にフィッシングメールを送付する。本物そっくりの偽サイトに誘導して、ログインさせようとする。騙されると、成りすましログインによる不正操作や、アカウントを乗っ取られてしまうおそれがある。海外のオンラインゲームのフィッシングを行っていたフィッシャーが、昨年の暮れごろから国内のオンラインゲームにも手を出すようになり、国内のゲームサイト数社が標的になっている。オンラインゲーム関係のフィッシングは、この他に突発的なものものもあり、メール以外にもゲーム内のメッセージングサービスや掲示板などを使って誘導するケースもある。
<プロバイダメール>
プロバイダ各社をかたり、そのプロバイダのメールアドレス宛にフィッシングメールを送付する。偽のWebメールに誘導して、ログインさせようとする。騙されるとメールが不正に使われるおそれがあるほか、同じアカウントで利用できるプロバイダの各種サービスにも影響が及ぶかもしれない。フィッシングは、ターゲットのプロバイダを変えながら不定期に行われており、英文メールや機械翻訳した変な日本語のメールが届く。
<MasterCard>
MasterCardをかたり、不特定多数に英文のフィッシングメールを送付する。オンラインアップデートセンターと称する偽サイトに誘導し、クレジットカード情報と個人情報を入力させようとする。騙されると、クレジットカードが不正に使われるおそれがある。年7~8回のペースで2年以上続いており、現在は誘導先の偽サイトが日本語化されている。このフィッシャーは、以前はVisaをかたるパターンも併用していたが、最近はMasterCardに執着している。
<Yahoo! JAPAN>
Yahoo! JAPANをかたり、ほぼ毎週末Yahoo!メール宛にメールを送付するタイプと、同様の手口で不定期に行われるタイプとがある。いずれもYahoo!オークションのユーザーを狙ったもので、Yahoo!プレミアムの偽サイトに誘導し、クレジットカード情報や個人情報を入力させようとする。騙されると、クレジットカードが不正に使われるおそれがある。国内で最も長く続いているフィッシングで、かつてはアカウント情報の詐取が目的だったが、ここ数年はクレジットカード情報がメインとなっている。被害者はかなり多く、何人もの逮捕者が出ているが、少なくとも2グループが現在も活動を続けている。
<Twitter>
TwitterのDM(ダイレクトメッセージ:Twitterの非公開メッセージ)を使って誘導し、セッション切れを思わせる偽のログインページにログインさせようとする。1年以上に渡りえんえんと続いているもので、国内のユーザーを特に狙っているわけではなく、メッセージも偽のログインページも英文だが、詐取したアカウントを使って誘導用のDMを拡散するため、ときおり国内のユーザーが巻き込まれることがある。
4月18日付のカスペルスキーの公式ブログによると、Twitterスパムを使った偽セキュリティソフトのキャンペーンも展開されているという。
・New Spam campaign on Twitter Leads to Rogue AV[英文](Kaspersky)
http://www.securelist.com/en/blog/208193477/New_Spam_campaign_on_Twitter_Leads_to_Rogue_AV
国内のユーザーを狙ったフィッシングメールの多くは、アカウントの更新や確認の手続きなどと称して、偽サイトに誘導しようとする。各社が、メールでこのような手続きを求めることはないのだが、アカウントが停止するとか、利用に制限が生じるなどという文言で迫るため、あわててクリックしてしまう人が絶えないようだ。
国内のあるフィッシングの例では、偽サイトへのアクセスは最初の24時間に集中した。朝と夜の時間帯、およびメールの送付直後に誘導される人が特に多く、メールを開いて、そのまま躊躇なくアクセスしている様子がうかがえる。何事も慌てると、正しい判断ができなくなってしまうので注意したい。
(2012/04/24 ネットセキュリティニュース)