国内のサーバーを悪用した海外のフィッシングが増え、依然としてフィッシングサイト数が高止まりが続く中、オンラインゲームのフィッシングを仕掛けていた攻撃グループに、ターゲットブランド拡大などの大きな動きも見られた11月だった。
編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)に限定した観測を行っている。11月に観測した国内関連のフィッシングサイトは、前月から17件減少の224件だった。
観測されたフィッシングサイトのうち、偽サイト本体が設置されていたものは165件。他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは、前月の7件から59件へと大幅に増加。うち39件を、国内ブランドのフィッシングが占めている。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが165件と、前月から29件増加した。うち78件が国内のサーバーで、前月から22件の増加だ。ウイルスに感染した国内ユーザーのパソコンや自宅サーバーと見られるものは、42件と相変わらず多く、41件が国内プロバイダのアクセス回線上に開設された、同一グループによるオンラインゲームなどのフィッシングサイトだった。このほかに、ホスティングサービスの悪用が17件(国内サーバー6件)あった。
悪用されたブランドは、PayPal(93件)、スクウェア・エニックス(36件)、三菱東京UFJ銀行(24件)、ブリザード・エンターテインメント(9件)、Google(7件)ほか、計38種類。国内ブランド(日本語のフィッシングサイトを含む)は、PayPal(55件)、スクウェア・エニックス(36件)、三菱東京UFJ銀行(24件)、Mt.Gox(5件)、WebMoney(3件)、じぶん銀行(1件)、ハンゲーム(1件)、OCN(1件)。
これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。11月も「Active!Mail」を装うフィッシングメールが、各大学のユーザー宛てに送られたようだが、12月に入ってからも同様の攻撃が続いている。狙われているは「Active!Mail」だけではなく、メールアカウント全般が標的となっているので注意していただきたい。偽サイトに誘導してログインさせようとするタイプ、入力フォーム型のメールに入力させるタイプ、メールの返信で送らせるタイプと、手口もさまざまだ。
[11/15]eoWEBメールをかたる不正なフィッシングサイトにご注意ください(ケイ・オプティコム) http://support.eonet.jp/news/92/ [11/15]eoWEBメールをかたる不正なフィッシングサイトにご注意ください(オフィスeo光) https://office-eo.jp/announce/attn_phishing/attn131115.html [11/15]eoWEBメールをかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/eoweb20131001.html [11/18]インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください。(三菱東京UFJ銀行) http://www.bk.mufg.jp/info/phishing/20131118.html [11/18]三菱東京UFJ銀行をかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/mufg20131118.html [11/18]当社を装ったウォレットID詐取のフィッシングメールにご注意ください(ウェブマネー) http://www.webmoney.jp/news/2013/1118_fishing.html [11/19]コミュファ光を装う悪質なメールにご注意ください(コミュファ光) http://www.commufa.jp/support/info/20131119695.html [11/19]コミュファ光 Webメールをかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/commufa20131119.html [11/21]「.cn.comドメインを利用したフィッシングサイトの増加について」[PDF](警察庁) http://www.npa.go.jp/cyberpolice/detect/pdf/20131121.pdf [11/27]インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください。(三菱東京UFJ銀行) http://www.bk.mufg.jp/info/phishing/20131118.html [11/27]ハンゲームを装ったフィッシングメールにご注意ください(ハンゲーム) http://info.hangame.co.jp/index.nhn?m=detail&infono=9333 [11/28]パソコンバンキングのログインパスワード等を騙し取る不審なEメールにご注意ください。(じぶん銀行) http://www.jibunbank.co.jp/pc/announcement/detail/info_20131128.html [11/28]じぶん銀行をかたるフィッシング(フィッシング対策協議会:Twitter) https://twitter.com/antiphishing_jp/status/405865363260186624
<Active!Mail関連> [11/05]麗澤大学 http://www2.reitaku-u.ac.jp/risc/news/2013-11-05/73 [11/06]愛知大学 http://saturn.aichi-u.ac.jp/topics/topics.html http://tcweb.aichi-u.ac.jp/info.html [11/07]横浜国立大学 http://www.itsc.ynu.ac.jp/news/20131107.html [11/08]奈良女子大学 http://www.nara-wu.ac.jp/ipc/service/news/backnumber/news254.html [11/08]広島大学 http://www.media.hiroshima-u.ac.jp/news/2013111802 [11/14]中央大学 http://www2.chuo-u.ac.jp/com/support_qa/mail1/mail_etc/mail_limitfraud.htm [11/15]上智大学総合 http://ccweb.cc.sophia.ac.jp/jo4vshh48-26/ [11/15]北里大学 http://www.kitasato-u.ac.jp/n20131115.html [11/17]九州工業大学(Twitter) https://twitter.com/KYUTECH_ISC/status/402222278739365888 [11/20]獨協医科大学 http://infoed.dokkyomed.ac.jp/ [11/25]筑波大学 http://www.u.tsukuba.ac.jp/icho13/phishing.html
■標的を拡大する「安全確認」メール
国内のオンラインゲームのアカウントを狙い、「安全確認」の件名で執拗なフィッシングを仕掛けていたグループに大きな動きが見られた。偽サイトの開設に、日本国内のプロバイダのアクセス回線まで使用する大胆なグループだ。 大きな動きのひとつ目は、中継サイトを使うようになった点だ。これまでもHTMLメールで誘導先を偽装する工作は行っていたが、リンクには偽サイトのURLが直接埋め込まれていた。11月上旬からは、不正アクセスされたと見られる一般のWebサイトを中継サイトに利用し、メールには、この中継サイトのURLを埋め込んだものが増えた。偽サイトのURL隠ぺいを始めたのだ。
2つ目は、偽サイトのログインページを、日本語版に作り替えた点だ。これまでは、日本語のフィッシングメールと、英語版のログインページを模した偽サイトというアンバランスな組み合わせだった。フィッシングメールは、異常なログインを感知したのでパスワードを再設定するよう促し、リンクをクリックさせようとするもの。この半年間でかなり完成度が高くなり、異常ログインの日時やIPアドレスなどを記載して本物らしさを演出している。ところが、肝心の偽サイトが英語版のログインページを模した怪しい仕様だったのだ。今回の改修で、偽サイトも日本語化されたため、見た目だけで判断しているユーザーは、だまされてしまう可能性が高くなってしまったかもしれない。
3つ目は、ターゲットの拡大だ。これまでは、もっぱらオンラインゲームのアカウントが専門で、国内ユーザー向けには「スクウェア・エニックス」を装うフィッシングを仕掛けていた。11月中旬からは、ターゲットを「三菱東京UFJ銀行」や「WebMoney」に切り替えた攻撃を開始。「WebMoneyーー安全確認」や「三菱東京UFJ銀行ーー安全確認」という件名と、「こんにちは!」という予想外の書き出しで始まる稚拙な日本語のフィッシングメールが飛来するようになった。下旬には「じぶん銀行」が、12月に入ってからは「楽天銀行」も追加されたが、今もなお継続して行われているのは、「三菱東京UFJ銀行」のみ。ターゲットの拡大に伴い、「スクウェア・エニックス」を装うフィッシングは一時休止状態にあったが、クリスマスを前にこちらは再開している。オンラインゲームとオンラインバンキングの二本立てで、このまま年末年始の休暇に突入しそうである。
(2013/12/25 ネットセキュリティニュース)