実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが、7月も繰り返し行われた。
フィッシング対策協議会の7月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は439件(前月比64件増)。ユニークなURL件数は252件(前月比7件増)、悪用されたブランド件数 (海外含む) は20件(前月比1件増)だったという。7月の特徴として、ライフカードの「Vプリカ」と、国内の大学をかたるフィッシングサイトの報告をあげている。
筆者が観測した7月の特徴は、オンラインバンキングのアカウントを狙うフィッシングが前月に続き停止状態を続ける一方、このグループが仕掛けるオンラインゲームのアカウントを狙うフィッシングは、相変わらずほぼ毎日、休むことなく繰り返された。連日行われていたのは、「スクウェア・エニックス」をかたるフィッシングだが、ほかに「ガンホー」と「ハンゲーム」を装うものが数回行われた。特筆されるのは、このグループが「Vプリカ」を新たなターゲットに加えた点だ。ほかには、SMSで誘導するアマゾンのフィッシングと、メールで誘導するアップルのフィッシングが頻発しており、SMSで誘導するグーグルのフィッシングも見つかった。いずれもクレジットカードを狙うフィッシングだ。
■ライフカードを装うフィッシング
ライフカードの「Vプリカ」は、インターネット上でVisaのクレジットカードと同じように使えるプリペイドカードのこと。この会員サイト「Myページ」のログインページを模した偽サイトに誘導する攻撃が、2回観測された。同じグループが連日繰り返すスクウェア・エニックスのフィッシングと違い単発だが、偽サイトは8月2日現在も稼働しており、再誘導の可能性があるので注意したい。Myページは、決済時に必要なカード情報の確認や、一時的に利用できないようにする「セキュリティロック」の設定/解除が行えるので、騙されると購入済のVプリカが勝手に使われてしまうかもしれない。
「【Vプリカ】のお知らせ」という件名でばらまかれたVプリカのフィッシングメールには、オンラインゲームのフィッシングでもよく使われる、他社のサービスで会員情報が流出したので本人確認を行うという内容のものが、そのまま使用されていた。誘導先の偽サイトには、オンラインゲームの偽サイトと同様「,usa.cc」ドメインを使用しており、偽のログインページには、本物のログインページがほぼそのまま使われている。ログインすると、ログイン情報を本物の認証に投げる点も同じなので、油断していると騙されたことに全く気が付かないかもしれない。実際には、ログインボタンを押した瞬間に裏で入力情報を抜き取っており、前月登場した「ガンホーゲームズ」の偽サイトと同じ作りになっている。
■アマゾンを装うフィッシング
アマゾンを装うフィッシングは、今年4月頃から行われている「第三者による不正アクセスを検知したため、パスワードを見直し、お支払方法の再登録をお願いします (URL)」という内容のSMSを送り、本物そっくりの偽のトップページへと誘導する。フィッシング対策協議会では、今年2月にメールを使ってアマゾンの偽のログインページに誘導するフィッシングの緊急情報を出しているが、それとは別物で、こちらの緊急情報は今のところ出ていない。
このフィッシングでは、偽のトップページからログインページに進ませ、パスワードの変更やクレジットカード番号の入力を求める。すべて入力してしまうと、アマゾンは、パスワードとカード番号があれば本人とみなし、全ての操作が行えるようになる。
アマゾンのフィッシングは、7月に頻繁に観測されており、先週から今週にかけては連日行われている。8月2日現在、偽サイトは稼働しており、騙されて実害が発生しているケースもあるようなので、SMSにはくれぐれも注意していただきたい。偽物は、「amozon」や「amaozon」などの微妙な名前を使用しており、ログインページなどに本物にあるはずの錠前マークがない。
■グーグルを装うフィッシング
グーグルを装うフィッシングもまた、世界的には毎日行われているが、日本人を狙った日本語のものは珍しい。特に今回のようなSMSで誘導するタイプは、初めてかもしれない。送られてくるSMSは、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック(URL)」という内容で、ログインなしで「Google Play」のロゴを配したクレジットカードの登録ページに誘導される。同社のサービスでは、支払い情報の登録は必須ではなく、支払う際にその都度入力することができる。保存した支払い情報は、「Googleペイメント」で一括管理されるため、Google Playストアなどの個々のサービス別の支払い情報の登録はない。URLが同社の公式サイトに使われている「google.com」とは無関係のものだったり、表示されるはずの錠前マークが表示されなかったりと、偽物を見破るポイントをチェックしさえすれば、騙されることはないだろう。
■アップルを装うフィッシング
アップルストアを装うフィッシングは、「あなたのApple IDがロックされます」などの件名で届く日本語メールと、「Your Apple ID has been suspended」という件名で届く英文メールがあり、偽のログインページ(サインインページ)にログインさせ、住所や氏名などの個人情報とクレジットカード情報を騙し取ろうとする。
アップルのフィッシングは、連日大量に行われている。多くは海外のものだが、一部に日本語化されたメールや偽サイトを使用する、国内向けのものがある。7月は、前掲のフィッシングメールで誘導する日本人向け偽サイトがリニューアルされ、より本物らしくなったので注意したい。偽物は紛らわしいURLを使用しているが、ランダムな英数字が並ぶ意味不明なドメイン名を使用しており、本物にあるはずの錠前マークと運営者名(Apple Inc.)がアドレスバーに表示されない。これも、偽物を見破るポイントをチェックしさえすれば、騙されることはないだろう。
■各社のメールアカウントを狙うフィッシング
7月もまた、「OCN」や「NIFTY」などのプロバイダ各社のWebメールのアカウントを狙うフィッシングがネット上で報告された。フィッシング対策協議会がいう「国内の大学をかたるフィッシングサイト」については不明だが、電気通信大学からはメールの隔離通知を装ったフィッシングメールが報告されている。
メールアカウントを狙うフィッシングでは、「あなたのアカウントは一時的にロックされています」などの件名で届く偽サイトに誘導するタイプのほかに、メールに返信させるタイプがしばしば報告されている。下記関連URLにあるOCNの注意喚起に実際の文面が記載されているが、同様のものが他社からも度々報告されている。ドメイン名やサービス名を、それぞれのユーザーのメールアドレスに合わせて変えたものが、ユーザーのメールアドレス宛てに届くので、騙されて返信しないよう注意していただきたい。メールアドレスの確認と称し、プロバイダがパスワードを尋ねることなどあり得ない。
(2016/08/03 ネットセキュリティニュース)
【関連URL】
・2016/07 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201607.html
・弊社を装うEメールにご注意ください!(ライフカード)
http://vpc.lifecard.co.jp/news/20160720.html
・Vプリカ (Visa プリペイドカード) をかたるフィッシング (2016/07/21)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/lifecard_20160721.html
・OCNを騙る不審なメールにご注意ください(OCN)
http://www.ocn.ne.jp/info/announce/2016/07/19_1.html
・@niftyからのメールをかたる不審なメールとフィッシングサイトについて(ニフティ)
http://support.nifty.com/cs/suptopics/detail/160711478938/1.htm
・メールの隔離通知を装った詐欺メールに関する注意(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2016/07/20160721phisingmail.html