最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ネットバンキング情報狙う「Bancos」急増、Web改ざん被害も顕著(IPA)(2013/10/25) | メイン | ◆モジラ、複数の深刻な脆弱性を修正した「Firefox 25.0」公開(2013/10/30) »

2013/10/29

◆9月の国内フィッシング事情:国内ISPのアクセス回線を使ったフィッシング激増(2013/10/29)

 国内ブランド(日本語対応を含む)のフィッシングサイト数は減少したものの、7月以来3桁台が続いており、9月も相変わらずの高水準が続いている。オンラインゲームのフィッシングが国内ISPのアクセス回線を使うようになったため、アクセス回線上に開設されたフィッシングサイトの数が、大幅な増加を見せている。

 編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)に限定した観測を行っている。9月に観測した国内関連のフィッシングサイトは、前月から39件減の227件だった。国内のオンラインゲームと日本語に対応した米決済サービスのフィッシングは、相変わらず大量のサイトやドメインを投入しながら、連日活動を続けている。

 観測されたフィッシングサイトのうち、偽サイト本体が設置されていたものは222件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは5件だった。悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが142件(国内サーバー32件)、ホスティングサービスの悪用が41件(国内サーバー9件)、ウイルスに感染した国内ユーザーのパソコンや自宅サーバーと見られるものが43件だった。

 悪用されたブランドは、PayPal(147件)、スクウェア・エニックス(24件)、ブリザード・エンターテインメント(20件)ほか、計27種類。国内ブランド(日本語のフィッシングサイトを含む)は、PayPal(129件)、スクウェア・エニックス(24件)、Active! Mail、UCカード(各2件)、BIGLOBEメール、eoWebメール、Googleドキュメント、Sony Entertainment Network、UCOM Web Mail、Yahoo! JAPAN(各1件)が観測された。

 なお、BIGLOBEメールとeoWebメールに関しては、不正アクセスを受けたマレーシアの同一サイト内に9月28日から29日にかけて設置された、5件のフィッシングサイトの内の2件である。サイトの確認が月をまたいでしまったため、残り3件(So-net、ODN Webメール、gooメール)は、10月分の集計となっている。

 これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。釣り具店「ガンクラフト」の告知は、同店をかたったフィッシングが行われたのではなく、同店のサイト内にUCカードの偽サイトが設置されたことを受けての告知だ。不正アクセスを受けて偽サイトを設置されてしまったサイトのほとんどが、こっそり削除して何もなかったように振る舞う中、こうした対応は極めて珍しい。
 なお、月をまたいで出された注意喚起については、10月告知分も含めて掲載する。フィッシング対策協議会が出したUCカードの注意喚起では、偽サイトに誘導するタイプと入力フォームを添付するタイプの2種類を紹介しているが、9月に行われたのは前者で、入力フォーム添付型は10月に入ってからの攻撃である。

[09/13]UCOMの管理者を装った迷惑メールにご注意ください(UCOM)
http://help.ucom.ne.jp/info/info.php?id=279
[09/27] フィッシング詐欺メールにご注意ください(ガンクラフト)
http://www.gancraft.com/pop-up/sagi.html
[10/01] フィッシングサイトにご注意ください!(UCカード)
http://www2.uccard.co.jp/important/pop/phishing1310.html
[10/10] UCカード(アットユーネット)をかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/uccard20131010.html
[09/30] gooやNTTレゾナントを装った不審なメールにご注意ください(goo)
http://help.goo.ne.jp/help/article/2065/
[10/01] ポータルサイトgooをかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/goo20131001.html
[09/30] eoWEBメールをかたる不正なフィッシングサイトにご注意ください(ケイ・オプティコム)
http://support.eonet.jp/news/92/
[10/01] eoWEBメールをかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/eoweb20131001.html

<Active! Mail関連>
[10/01] トランスウエア(開発元)
http://www.transware.co.jp/news/2013/10/01_1400.html
[10/03] トランスウエア(開発元)
http://www.transware.co.jp/news/2013/10/03_2030.html
[09/25] 金沢大学大学院医薬保健学研究科
http://dbweb.m.kanazawa-u.ac.jp/inside/jimuinfo/browserec.php?recid=11151
[09/30] 電気通信大学情報基盤センター
http://www.cc.uec.ac.jp/info/news/2013/10/20130930activemail.html
[09/30] 関西大学ITセンター
http://www.itc.kansai-u.ac.jp/news_detail/link/1/news_id/114.html
[09/30] 埼玉大学情報メディア基盤センター
http://www.itc.saitama-u.ac.jp/modules/bulletin/index.php?page=article&storyid=212
[09/30] 広島大学情報メディア教育研究センター
http://www.media.hiroshima-u.ac.jp/news/2013093001
[09/30] 千葉大学統合情報センター
http://www.imit.chiba-u.jp/
[09/30] 茨城大学IT基盤センター
http://www.ipc.ibaraki.ac.jp/allmes.php
[10/01] 追手門学院大学
http://www.ccile.otemon.ac.jp/link/system/targeted_attack_mail.html
[10/02] 上智大学総合メディアセンター
http://ccweb.cc.sophia.ac.jp/index.php?action=pages_view_main&active_action=journal_view_main_detail&post_id=166&comment_flag=1&block_id=26#_26
[10/03] 京都大学情報環境機構
http://www.iimc.kyoto-u.ac.jp/ja/services/ismo/whatsnew/news/detail/04235.html
[10/04] 東洋学園メディアセンター
http://tgblog.tyg.jp/mc/2013/10/active-mail.html

■国内のアクセス回線を使ったフィッシングサイトが急増

 国内のISPが提供するアクセス回線上に開設されたフィッシングサイトの件数は、4月3件、5月4件、6月0件、7月2件、8月5件と1桁台で遷移していたが、9月は過去最多だった2012年4月と同数の43件に急増した。
 過去最多を記録した昨春は、国内ISPのアクセス回線上に設置した1~2基のサーバーを使い、韓国の金融機関を装うフィッシングサイトが大量に開設されたのが増加の原因だ。今回もよく似た状況で、大量のドメイン名を投入しながら活動を続けるスクウェア・エニックスのフィッシングが、8月末から国内ISPのアクセス回線上でホスティングするようになったからである。同じサーバー上には、米ブリザード・エンターテインメント社のオンラインゲーム「BATTLE.NET」のフィッシングサイトも開設されているため、ホストとブランドでカウントしている編集部の数え方では、昨春同様、一攻撃者のために急増してしまう結果となった。
 この種のフィッシングサイトは、ウイルスに感染したユーザーのパソコンが悪用されるケース、自宅のサーバーが侵入されるケース、攻撃者やその協力者が自ら開設しているケースがあるが、これまでの状況から、今回も自ら開設している可能性が高い。
 ISPのアクセス回線では、IPアドレスが動的に割り当てられるため、再接続するたびに偽サイトのIPアドレスが変わる。さらに、ISPも切り替えてしまうためか(9月中だけで3社間を5回渡り歩いている)、なかなか完全閉鎖に追い込むことができず、10月29日現在も稼働中だ。
 使われたドメインは、9月は主に「●kiki.com」(●は1~2文字のアルファベット)だったが、9月末からは「cn.com」を投入。現時点では、「f-cll.com」が使われている。

■似ていないフィッシングサイト

 フィッシングといえば、本物のサイトにそっくりな偽サイトに誘導されるのが定番だが、時おり似せる気など微塵もない偽サイトへ連れて行かれることがある。
 9月のフィッシングの中では、「UCOM Web Mail」と「Active! Mail」の片方の偽サイトが、このタイプの極みともいえる存在だ。「UCカード」や「Googleドキュメント」「Active! Mail」のもう片方なども、本物には程遠い存在ではあるが、それでもロゴをあしらうなどして、それらしさを醸し出そうとしている。ところがこの2件に関しては、ロゴはおろかサービス名の記載すらない。サイトを見ただけでは、どこのサイトなのか全く分からない代物だった。単なる手抜きなのか、汎用的に使うつもりだったのか、偽サイトだと分からないようにわざとやったのか、その辺の事情は謎だが、さすがにこの偽サイトと機械翻訳丸出しの不自然な日本語メールでは、引っかかる人はいないのではないかと思う。

(2013/10/29 ネットセキュリティニュース)

 

投稿情報: 08:48 |

|