2013年12月は、毎月200件台をキープし続けていたフィッシングサイト数が久しぶりに100件台に落ちたが、前月から始まったオンラインバンキングのフィッシングは激化した。年末年始の休暇も関係なく、連日のようにフィッシングメールが飛び交う月となった。
編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)に限定した観測を行っている。12月に観測した国内関連のフィッシングサイトは、前月から81件減り143件だった。
■国内サーバーの被害半減、悪用された国内ブランドは8種類
観測されたフィッシングサイトのうち、偽サイト本体が設置されていたものが115件(前月165件)、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものが28件(前月59件)。 悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが、88件(前月165件)。コンテンツ管理ソフトなどの脆弱性を突いたと見られる国内サーバーの被害は減ったようで、前月の78件から39件へと半減している。このほかに、ホスティングサービスの悪用が30件(国内サーバー4件)。ウイルスに感染した国内ユーザーのパソコンや自宅サーバーと見られるものが25件だった。 悪用されたブランドは、三菱東京UFJ銀行(54件)、PayPal(42件)、スクウェア・エニックス(5件)、ドイツの貯蓄銀行(4件)ほか30種類。国内ブランド(日本語のフィッシングサイトを含む)は、三菱東京UFJ銀行(54件)、PayPalの日本語サイト(35件)、スクウェア・エニックス(5件)、Google、NEXON、RisuMail、セゾンカード、楽天銀行各1件の8種類だった。 これらを含め各所からは、フィッシングに関する以下のような注意喚起(更新情報を含む)が出されている。
[2013/12/10] ハンゲームを装ったフィッシングメールにご注意ください(ハンゲーム) http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
[2013/12/10] ハンゲームをかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/hangame20131210.html
[2013/12/12] 楽天銀行をかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/rakutenbank20131212.html
[2013/12/13] フィッシングサイト等に誘導する不審な電子メールに関するご注意(楽天銀行) http://www.rakuten-bank.co.jp/info/2013/131212.html
[2013/12/20] ネクソンを装ったフィッシングメールにご注意ください(ネクソン) http://www.nexon.co.jp/news/detail.aspx?no=130711
[2013/12/20] NEXONをかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/nexon20131220.html
[2013/12/24] フィッシング詐欺にご注意ください(ドラゴンクエストX 目覚めし五つの種族 オンライン) http://hiroba.dqx.jp/sc/topics/detail/8e6b42f1644ecb1327dc03ab345e618b/
[2013/12/24] フィッシング詐欺にご注意ください(SQUARE ENIX) http://jp.finalfantasyxiv.com/lodestone/news/detail/b2a91d51ca17db290db2210ec2f8a7574e5563b1
[2013/12/24] インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(三菱東京UFJ銀行) http://www.bk.mufg.jp/info/phishing/20131118.html
[2013/12/27] 三菱東京UFJ銀行をかたるフィッシング(フィッシング対策協議会) http://www.antiphishing.jp/news/alert/mufg20131227.html
[2013/12/26] 迷惑メール(フィッシング詐欺)にご注意ください(Nexyz.BB) http://www.nexyzbb.ne.jp/topics/20131225.php
[2013/12/26] Nexyz.BB Web.Mailをかたるフィッシング(フィッシング対策協議会) https://www.antiphishing.jp/news/alert/nexyzbb_webmail20131226.html
[2013/12/26] フィッシングサイトにご注意ください!(クレディセゾン) http://www.saisoncard.co.jp/news/pop/nc20131226_phishing.html
[2013/12/26] セゾンNetアンサーをかたるフィッシング(フィッシング対策協議会) https://www.antiphishing.jp/news/alert/saison20131226.html
<Active!Mail> [2013/12/04] 関西大学 http://www.itc.kansai-u.ac.jp/news_detail/link/1/news_id/118.html
[2013/12/06]お茶の水大学 http://www.cc.ocha.ac.jp/
[2013/12/12] フィッシング対策協議会 https://www.antiphishing.jp/news/alert/20131212activemail.html
<RisuMail>
[2013/12/03] リスメールチームを偽ったアカウント情報詐取メールにご注意ください(エス・エー・ヒューズ・エンタープライゼズ) http://www.risumail.jp/news/phishing-alert
[2013/12/03] 山口大学 http://www.sv.cc.yamaguchi-u.ac.jp/osirase/webmail20131203.txt
[2013/12/06] 立教大学
[2014/01/16] フィッシング対策協議会 http://www.antiphishing.jp/news/database/risumail20140116.html
■PayPalのフィッシング――「日本語対応偽サイト」の危険度
日本語のサイトを含む国内ブランドのフィッシングサイトは、7月に跳ね上がったまま高止まりが続いている。月平均9.5件だった2013年上半期に対し、下半期は146件と15倍に膨れ上がった状態だ。大きな要因は、海外で行われているPayPalのフィッシングに、日本語に対応した偽サイトが出現したことと、国内のオンラインゲームやオンラインバンキングを狙って執拗な攻撃を続ける集団の登場だ。海外のフィッシングと違い、国内ブランドのフィッシングは非常に少ないため、物量作戦を展開する攻撃が発生すると極端に数字が変動してしまう。 PayPalのフィッシングは、8月の132件をピークに減少し、12月は35件だった。偽サイトは日本語に対応してはいるものの、日本人を狙った攻撃を仕掛ける様子はなく、国内のユーザーへの影響は今のところ全くない。これがどれだけ増えようと、危険度は限りなくゼロのままだ。
■「スクウェア・エニックス」「三菱東京UFJ銀行」かたるグループ
国内のユーザーを狙うフィッシングの方は、7月に急増した「スクウェア・エニックス」を装うフィッシングが、その後も執拗に続いている。11月下旬にターゲットを変更したため、12月の「スクウェア・エニックス」の偽サイトは5件にとどまったが、前月に出現した「三菱東京UFJ銀行」の偽サイトの方は、連日新しいドメインやホスト名が投入され、ユニークなホスト名は32件に膨れ上がった。ただし、同じサーバーに異なるホスト名を次々と割り当てているため、実際に使われているサーバーは見かけほど多くはない。サーバーは、国内プロバイダーのアクセス回線と中国、香港などで、同時稼働数は最大3基程度。接続先を変えながら、閉鎖されることなく1月下旬まで稼働を続けた。 「三菱東京UFJ銀行」のフィッシングでは、不正アクセスされたと見られる一般のWebサイトを中継サイトに利用したものも多くある。中継サイトは、偽サイト以上の数が用意されていたと思われるが、発見できたのは22件だった。このグループは、12月末から「スクウェア・エニックス」のフィッシングも再開し、年末年始も休むことなく、1月下旬までこれらのフィッシングが続いた。
<休止状態だが今後も警戒が必要> 2月3日現在、これらフィッシングは休止状態にある。「三菱東京UFJ銀行」は先々週、「スクウェア・エニックス」は先週が最後の攻撃で、その後フィッシングメールは観測されておらず、使われていたサイトもアクセスできない状態だ。ただし、このグループ自体が活動を休止したわけではなく、現在海外向けに行っている海外のオンラインゲームのフィッシングサイトのサーバー内には、「スクウェア・エニックス」の偽サイトも置かれていたりする。いつ再開してもおかしくない状態なので、今後も警戒を続けていただきたい。このグループによる国内のユーザーを狙ったフィッシングでは、「スクウェア・エニックス」「三菱東京UFJ銀行」のほかに「じぶん銀行」「楽天銀行」「WebMoney」もターゲットとなっている。
(2014/2/04 ネットセキュリティニュース)