久しぶりに100件台に落ちた12月から再び200件台に盛り返し、オンラインバンキングとオンラインゲームのフィッシングが正月休みもなく続いた1月だった。
編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)に限定した観測を行っている。1月に観測した国内関連のフィッシングサイトは、前月から79件増加の222件だった。
観測されたフィッシングサイトのうち、偽サイト本体が設置されていたものが157件(前月115件)、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものが65件(前月28件)。
悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが、133件(前月88件)。国内のオンラインバンキングのフィッシングに、海外の一般サイトが踏み台(中継サイト)として悪用されるケースが増大しており、国内サーバーの被害は前月と同じ39件に留まっている。
このほかに、ホスティングサービスの悪用が47件(国内サーバー6件)。ウイルスに感染した国内ユーザーのパソコンや自宅サーバーと見られるものが42件だった。
悪用されたブランドは、三菱東京UFJ銀行(108件)、PayPal(42件)、スクウェア・エニックス(24件)、Google(12件)ほか30種類。日本語のフィッシングサイトを含む国内ブランドは、三菱東京UFJ銀行(108件)、PayPalの日本語サイト(35件)、スクウェア・エニックス(24件)、ハンゲーム(3件)、Mt.Gox(2件)、セゾンカード(1件)の6種類だった。
これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。
・[01/06] Nexyz.BBをかたる迷惑メール(フィッシング詐欺)にご注意ください(Nexyz.BB)
http://www.nexyzbb.ne.jp/topics/20140106.php
・[01/06] ハンゲームをかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/hangame20131210.html
・[01/06][01/14] インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html
・[01/08] 三菱東京UFJ銀行をかたるフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/mufg20131227.html
・[01/14] eoWEBメールをかたる不正なフィッシングサイトにご注意ください(ケイ・オプティコム)
http://support.eonet.jp/news/92/
・[01/15] フィッシングサイトにご注意ください!(クレディセゾン)
http://www.saisoncard.co.jp/news/pop/nc20131226_phishing.html
・[01/16] 大学などで使用されているWebメール(Risumail)アカウントを狙うフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/news/database/risumail20140116.html
・[01/23] 日本年金機構をかたったメールにご注意ください
http://www.nenkin.go.jp/n/data/service/0000016803mPFdSVzrc5.pdf
・[01/27] 日本年金機構をかたったメールにご注意ください!(キヤノンITソリューションズ)
http://canon-its.jp/product/eset/sn/sn20140127.html
なお「Risumail」は、12月初旬に行われたフィッシングが1月になってから報告されたものと思われる。「日本年金機構」については、キヤノンITソリューションズのようにフィッシングメールとしている企業や報道が多々あるが、編集部の判定はフィッシングではなく、怪しいFX塾(講座)に勧誘する迷惑メールである。
■銀行とゲームのフィッシングが急増
昨年からオンラインゲームのフィッシングを仕掛けていた集団が、11月下旬からオンラインバンキングも標的にし始めた。この2本立てのフィッシングが、正月休みもなく続き、特に1月に入ってからは「三菱東京UFJ銀行」のフィッシングに注力したようで、連日のように新しいホスト名を投入しながら、偽サイトのホスティングを続けていた。
1月中の「スクウェア・エニックス」の偽サイトのホスティングには、主に中国や香港のサーバーが使われた。一方の「三菱東京UFJ銀行」の偽サイトのホスティングには、主に国内のユーザーのアクセス回線が使われており、1月中に使用されたホスト名46件中38件が国内回線。残り8件も、短期間で国内回線に移転するケースが目立った。
偽サイトの多くは寿命が短く、過半数が当日から翌日にかけて閉鎖される。ところが、この偽サイトは非常に寿命が長く、年末からのサーバーが約10日間、その後継が約20日稼働し続けるという、防弾ホスト状態だった。大量にあるように見えるホストだが、その大半を2か所でホスティングしていたのだ。
■フィッシング協議会の月次報告が異常値を記録
「三菱東京UFJ銀行」のフィッシングでは、フィッシングメールから偽サイトへと直接接続せず、中継サイトを経由する手口が多用された。中継サイトには、クラックされたと見られる海外の一般サイト(最多は中国)が使われており、編集部が確認できたものだけでも62件(前月22件)あった。
フィッシング協議会の月次報告を見ると、1月のフィッシングの報告件数は前年1年間分を上回る4656件。ユニークなURL件数は、前月から183件増加の543件。ブランド件数は、前月から1件減少の16件。同協会は、報告件数の急増をオンラインゲームや金融機関をかたるフィッシングの報告が増加しているためとしている。
同協会の報告と、これまでの推移や編集部の観測状況、攻撃者の手口を合わせ考えると、この異常な増加の大半を「三菱東京UFJ銀行」のフィッシング報告が占め、数百件の中継サイトが報告されたであろうことが推察できる。
■一時休止するも再び攻撃を始めた「三菱東京UFJ銀行」のフィッシング
「三菱東京UFJ銀行」のフィッシングは、1月下旬の攻撃を最後にいったん休止。2月に入ってからの国内回線では、「スクウェア・エニックス」の偽サイトのホスティングが盛んに行われるようになった。ようやく「三菱東京UFJ銀行」のフィッシングから手を引いたかと思ったのも束の間、今週に入って復活してしまったようで、26日頃からまた執拗な攻撃が始まっている。
直近にばらまかれたフィッシングメールは、休止直前のとほぼ同じ内容。「【三菱東京UFJ銀行】本人認証サービス」という件名で届き、システムセキュリティのアップグレードのためと称してリンクをクリックさせようとする。「貴様のアカウントの利用中止を避けるために、検証する必要があります」という表現が、なんとも印象的だ。
本人確認などと称してリンク先でログインさせようとしたり、乱数表を全桁(このフィッシングでは1行ずつページを変えながら全行)入力させようとする場合には、怪しいと考え、それ以上進まないようにしていただきたい。たとえ本物のサイトだと確信していても、入力前には、アドレスバーの横に錠前マークと「The Bank of Tokyo-Mitsubishi UFJ, Ltd.」という同行の名前が表示されていることを確認するよう心がけていただきたい。
(2014/02/28 ネットセキュリティニュース)
【関連URL】
・インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html