オンラインバンキングのアカウント狙ったフィッシングは依然休息状態が続き、クレジットカード情報を狙ったフィッシングも観測されなかった。悪用が続く国内サイトの問題を除くと、国内フィッシング事情は4月も比較的安定した状態が続いた。
編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)について観測を行っている。4月に観測した、国内関連のフィッシングサイトは、前月から2件増え41件だった。うち、偽サイト本体が設置されていたものは33件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは8件だった。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが35件(全て国内)。ホスティングサービスの悪用は3件(国内サーバー2件)、ウイルスに感染したユーザーのパソコンや自宅サーバーと見られるものが3件(全て国内)だった。悪用されたブランドは、PayPal(13件)、HSBC銀行(3件)ほか、計25種類。国内ブランドは、OCN(1件)のアカウントを狙ったフィッシングが観測されている。
スクウェア・エニックスのアカウントをだまし取るフィッシングについては、ゴールデンウィークの終わりごろから再び、国内のユーザーあてに日本語のフィッシングメールがばらまかれている。偽サイトは、5月14日現在も稼働中なので、引き続き警戒していただきたい。本物のサイトがEV SSLに対応した「.com」ドメインであるのに対し、偽物はSSL未対応の「.pw」ドメインで表示も英語だ。
これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。
<関連URL>
・[04/04]@niftyからのメールをかたる不審なメールとフィッシングサイトについて(ニフティ)
http://support.nifty.com/cs/suptopics/detail/130404415640/1.htm
・[04/05]@niftyをかたるフィッシング(2013/04/05)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/nifty20130405.html
・[04/11][04/28]OCNを騙る不正なフィッシングサイトにご注意ください(OCN)
http://www.ocn.ne.jp/info/announce/2011/08/24_1.html
・[04/22]フィッシング詐欺にご注意ください(スクウェア・エニックス)
https://secure.square-enix.com/account/app/svc/newsdetail?newsid=894636a8d864db7ffd1aab9c8e3d62fe3b4e7409
■中国の携帯用サイト変換サービスでフィッシング騒動
4月10日ごろ、北陸地方の地方銀行で偽サイトの注意喚起が相次いだ。告知には、事実確認を行えるだけの情報はなく真相は分からないままだが、その後のJPCERTコーディネーションセンターの発表から、中国移動通信が提供する携帯向けの変換サービスを誤認したものであった可能性が高い。このサービスでは、「go2.10086.cn/正規のURL」というかたちで、銀行のみならず様々なサイトのコピーが提供されており、検索サイトのキャッシュに相当するこのコピーを、偽サイトと勘違いしてしまったのだろう。
インターネットのアクセスを、キャッシュサーバーやプロキシサーバーと呼ばれるものを介して行うことがある。このような環境では、やりとりする情報が第三者の提供する中継サーバーに抜き取られてしまう可能性があるので注意していただきたい。外出先で利用するオープンなアクセスポイントなどの回線も同様だ。このような環境で、どうしてもアカウント情報などを入力しなければならない場合には、必ずSSLで接続し、証明書が正しい相手のものであることを確認していただきたい。
<関連URL>
・本日、中国に偽サイトが立ち上がっているという問い合わせを多数いただいています。(JPCERTコーディネーションセンター:Twitter)
https://twitter.com/jpcert/status/322282948554530816
・本日、中国に偽サイトが立ち上がっているという問い合わせを多数いただいています。(フィッシング対策協議会:Twitter)
https://twitter.com/antiphishing_jp/status/322288916445143040
・北陸財務局ホームページを装った偽サイトにご注意ください。(財務省北陸財務局)
http://hokuriku.mof.go.jp/
・福邦銀行のホームページを装った偽サイトにご注意ください
http://www.fukuho.co.jp/web-box/upload/oshirase/1304111201(1).pdf
・銀行のホームページを装った偽サイトやパスワードなどの入力を求める不正な画面にご注意ください!(北國銀行)
http://www.hokkokubank.co.jp/
・福井銀行ホームページの類似サイトにご注意ください(福井銀行)
http://www.fukuibank.co.jp/caution/similar_site.html
・富山第一銀行ホームページを装った偽サイトにご注意ください(富山第一銀行)
http://www.first-bank.co.jp/info/0362.html
・北陸銀行ホームページを装った偽サイトにご注意ください。(北陸銀行)
http://www.hokugin.co.jp/info/important/post-32.html
・富山銀行を装ったホームページにご注意ください。(富山銀行)
http://www.toyamabank.co.jp/pages/oshirase/20130411.htm
・金融機関ホームページの類似サイトにご注意ください!(第四銀行)
http://www.daishi-bank.co.jp/release/detail.php?id=2292
・大光銀行ホームページに類似したサイトにご注意ください(大光銀行)
http://www.taikobank.jp/important/detail.php?sn=202
■ウイルスに移行したオンラインバンキングの不正送金
オンラインバンキングのアカウントを狙ったフィッシングは、昨年末を最後に休息状態が続いている。ところが、不正送金被害は相変わらず続いているようで、4月までに8銀行で74件、約9600万円の被害が出ていると報じられている。フィッシングは収まったものの、ウイルスを使ったアカウント情報の抜き取りが続いているようだ。
警察庁は5月1日、ウイルスを使った手口に備え、ウイルス対策ソフトの導入やOSや各ソフトウェアの脆弱性解消、「ワンタイムパスワード」の利用を呼びかけた。ここでいうワンタイムパスワードは、トークン(パスワード生成器)や携帯メールなどを使い、その都度使い捨てのパスワードを取得するタイプだ。乱数表の特定の桁を入力させるタイプは、乱数表の全桁入力させるフィッシングやウイルスが表示する偽画面により、乱数表そのものをだまし取られてしまう被害が一昨年から起きている。
この乱数表は、桁数が少なければユーザーに全桁を入力させずとも、ウイルスが取引を監視し続けるだけで全桁を取得することもできる。例えば、数字10個から成る乱数表(10桁)なら、最短で10桁分、平均すると約20桁分の入力で全桁を取得される可能性がある。1回の取引で2桁ずつ入力するのなら、取引10回程度で乱数表の全桁が攻撃者の手に渡ってしまうのだ。桁数が増えれば、16桁で平均約54桁分、25桁で平均約95桁分と、全桁取得の道のりは長くなる。桁数が減れば、6桁なら平均約15桁分と、短期取得が可能になる。
乱数表は、攻撃者に丸ごと取得されてしまうとワンタイムパスワードとして意味をなさなくなってしまうので、利用できるのであれば、より安全度の高いトークン方式やメール方式への切り替えをお勧めする。もちろん、これらを使っていれば絶対安全というわけではない。今のところ国内では見かけないが、海外では、取引の途中に介入することにより、これらを突破してしまうフィッシングやウイルスも横行している。
<関連URL>
・インターネットバンキングに係る不正送金事案への対策について[PDF](警察庁)
http://www.npa.go.jp/cyber/warning/h25/130501.pdf
・不正送金の被害に関するご注意と対策について(楽天銀行)
http://www.rakuten-bank.co.jp/info/2013/130502.html
(2013/05/14 ネットセキュリティニュース)