国内ブランド(日本語対応を含む)のフィッシングサイト数は、200件を超えた8月のピークから減少を続けているものの、依然として3桁台をキープ。国内サーバーの悪用が増えたため、総数は先月よりもやや増加する結果となった。
編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)に限定した観測を行っている。10月に観測した国内関連のフィッシングサイトは、前月から14件増加し241件だった。依然として、国内のオンラインゲームと日本語に対応した米決済サービスのフィッシングサイトが多数検出されており、これらが全体の6割以上を占めている。
観測されたフィッシングサイトのうち、偽サイト本体が設置されていたものは234件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは7件だった。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが、前月の142件から136件へとやや減少したものの、国内サーバーは32件から54件へと増大する結果となった。ウイルスに感染した国内ユーザーのパソコンや自宅サーバーと見られるものは、急増した前月の43件から58件へとさらに増加している。うち57件は、国内プロバイダーのアクセス回線上に開設された、オンラインゲームのフィッシングサイトで、実質1~2台のサーバーに次々と新しいホスト名を割り当て、稼働を続けた結果だ。このほかに、ホスティングサービスの悪用が47件(国内サーバー3件)あった。
悪用されたブランドは、PayPal(136件)、スクウェア・エニックス(41件)、ブリザード・エンターテインメント(21件)、Google(8件)ほか、計27種類。国内ブランド(日本語のフィッシングサイトを含む)は、PayPal(108件)、スクウェア・エニックス(41件)、松戸市(4件)、gooメール、ODN Webメール、So-net(各1件)が観測された。
松戸市は、同市のアカウント等を狙ったものではなく、海外でよくある商品サンプルやドキュメント、発注書等を閲覧するための認証と称したフィッシングで、市の名前が偽称されただけだ。
gooメール、ODN Webメール、So-netに関しては、不正アクセスを受けたマレーシアの同一サイト内に9月28日から29日にかけて設置された5件のフィッシングサイトの内の3件である。サイトの確認が月をまたいでしまったため、BIGLOBEメールとeoWebメールが9月分の集計に、残りが10月分の集計になってしまった。
これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。このほかに、9月末に行われた「Active!Mail」のアカウントを詐取するフィッシングに関連した注意喚起が、各大学から出されているが、それらに関しては、先月掲載の「9月の国内フィッシング事情」の方でまとめている。このフィッシングに関しては、11月に入ってからも行われているので、同メールを利用されている方は、引き続き注意していただきたい。
[10/01]フィッシングサイトにご注意ください!(UCカード) http://www2.uccard.co.jp/important/pop/phishing1310.html [10/01]UCカード(アットユーネット)をかたるフィッシング(2013/10/10)(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/uccard20131010.html [10/01]【重要】So-netをかたる不正なフィッシングサイトにご注意ください(ソネット) http://www.so-net.ne.jp/access/osirase/20130729.html [10/03]【重要】BIGLOBEからの連絡を装う不正なメール(フィッシングメール)にご注意ください(NECビッグローブ) http://support.biglobe.ne.jp/news/news413.html [10/03]【重要】ODNをかたる不審なメールとフィッシングサイトについ(ODN) http://www.odn.ne.jp/odn_info/20131003.html [10/03]ODNをかたるフィッシング(2013/10/03)(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/odn20131003.html [10/10]スクウェア・エニックスをかたるフィッシング(2013/10/10)(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/20131010square_enix.html [10/15]eoWEBメールをかたるフィッシング(2013/10/01)(フィッシング対策協議会) https://www.antiphishing.jp/news/alert/eoweb20131001.html [10/21]eoWEBメールをかたる不正なフィッシングサイトにご注意くださいRSS(ケイ・オプティコム) http://support.eonet.jp/news/92/ [10/26]フィッシングメールに注意してください。(広島大学情報メディア教育研究センター) http://www.media.hiroshima-u.ac.jp/news/2013102601
■入力フォームを添付したフィッシング
フィッシングには、偽のサイトに誘導するものばかりではなく、メールに必要事項を記入して返信させるタイプや、添付ファイルに入力させるタイプもある。偽サイトベースの集計には含まれないが、上記の広島大学の注意喚起にあるのが、メール返信型だ。添付ファイル型のものは、10月上旬にUCカードをかたったものが観測された。
添付ファイル型のこのフィッシングでは、「UC CARD ALERT」という件名のメールが不特定多数に送られた。本文には、アカウントがロックされたので、添付した復元フォームを開いて画面の指示に従うよう書かれており、「UCCARD_FORM.html」というファイルが添付されていた。
この添付ファイルを開くと、アットユーネットのロゴをあしらった「アンロックフォーム」と題する入力フォームが現れる。それ自体がフィッシングサイトの入力ページになっているのだ。言われるがままに、姓、名、クレジットカード番号、有効期限、カード確認コード、ATMピンコードを入力し、[次へ]をクリックしてしまうと、入力した情報が海外のサーバーに送信され、攻撃者の手に渡ってしまう。
クレジットカード会社や銀行などでは、メールや添付ファイルで、このような情報を求めるようなことはしないので、だまされないように注意していただきたい。
■エラーページを乗っ取ったフィッシングサイト
フィッシングサイトの寿命は非常に短い。開設した偽サイトの半分は、その日のうちに閉鎖されてしまい、生き残りも、ブラウザやセキュリティソフトにブロックされてしまうようになる。また、同じURLで大量のフィッシングメールを送り続ければ、メール自体がブロックされ、届かなくなくなってしまう。
こうした状況下でもフィッシングを続けようと、攻撃者は次々に新しい誘導先を用意しては、フィッシングメールをばらまく。誘導先の確保には、同じサイト内に大量の偽サイトを設置するやり方もあれば、サイト自体を大量に用意する方法、ドメインやサーバー名を大量に用意する方法、アクセスする度に誘導先が変わる仕掛けを用意する方法など、さまざまな手法が用いられる。
10月に観測した海外のフィッシングサイトの中には、エラーページを乗っ取った珍しいタイプもあった。不正アクセスされたと見られる一般サイト上に開設されたこの偽サイトは、通常のWebページではなく、ページが見つからないときにサーバーが表示するエラーページを書き換えたもの。ページが見つからないときの挙動は、ブラウザやブラウザの設定によって異なるが、サーバー側のエラーページを表示するようになっている場合には、サイト上に存在しないあらゆるページ全てが、フィッシン用の偽のページになってしまうのだ。
(2013/11/29 ネットセキュリティニュース)