実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが、8月も繰り返し行われた。
フィッシング対策協議会の8月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は801件(前月比362件増)。ユニークなURL件数は492件(前月比240件増)、悪用されたブランド件数 (海外含む) は23件(前月比3件増)だったという。報告件数増加の大きな原因として、多数の銀行をかたるフィッシングサイトがみつかったことをあげており、多数の銀行に対して類似のフィッシングメールでフィッシングを行っていると推測している。
筆者が観測した8月のフィッシング発生状況は、3月を上回り、今年最大の60回(観測されたブランド別のべ攻撃日数の合計)を記録した。昨年12月以来高頻度の攻撃が続いており、このまま続くと9月中に去年1年間の攻撃回数を超える可能性がある。
8月の特徴としては、休止していたオンラインバンキングのアカウントを狙うフィッシングが再開したことが第一にあげられる。他のフィッシング発生状況については、7月とそう変わらないことから、協議会の報告件数の増加分が、8月19~31日にかけて行われた、計12回のフィッシングによるところが大きいと推測できる。過去の状況を見ても、銀行のフィッシングメールの反響が大きく、同じブランドが長期間続くよりも、短期で入れ替わるほうが報告件数が増える傾向にあるようだ。
このほかにも、前月に続きSMSで誘導するフィッシングが頻発しており、前月のアマゾン、グーグルに加え、アマゾンの誘導SMSと同じ文面を使ったauをかたるフィッシングも見つかった。アップルをかたるフィッシングも相変わらず高頻度で続いているほか、クレジットカード会社(クレディセゾン、ライフカード、JCB)やオンラインゲーム(スクウェア・エニックス、ハンゲーム)をかたるフィッシング、プロバイダー(J:COM、ヤフー、朝日ネット)や大学(慶應義塾大学、上智大学)のメールアカウントを狙うフィッシングも見つかっている。
オンラインバンキング以外は前月とほぼ同じ傾向なので、詳しくは「7月の国内フィッシング事情」を参照していただきたい。
■オンラインバンキングを装う2種類のフィッシング
国内のユーザーを狙ったフィッシングを仕掛けてくる攻撃者は、あまり多くない。8月には、7行のネットバンキングをかたるフィッシングが行われたが、攻撃の手口などから、2系統に分類できる。オンラインゲームとも関連しているので、ここでは便宜的にスクエニ系とハンゲーム系と呼ぶことにする。
【1】スクエニ系――「貴様のアカウント」でお馴染みのグループ
メール本文の「こんにちは!」という書き出しや、「貴様のアカウント」というフレーズが印象的なグループ。スクウェア・エニックスをはじめとする、オンラインゲームのフィッシングを仕掛けていた一派で、2013年から、三菱東京UFJ銀行をはじめとするオンラインバンキングをターゲットに加えた。8月に行われたものでは、りそな銀行、福岡銀行、ジャパンネット銀行、京都銀行、静岡銀行のフィッシングがこの系統だ。
オンラインゲームの方では、「安全確認」や「アカウント確認」「常確認のお願い」などの件名がよく使われており、最近では「[スクウェア・エニックス アカウント]のお知らせ」という件名で、ドラゴンクエストXの画像を貼り付けた精巧なフィッシングメールが届く。オンラインバンキングの方は、「○○銀行重要なお知らせ」「○○銀行メールアドレスの確認」「○○銀行本人認証サービス」というパターンのバリエーション(○○銀行がなかったり、日付が入ったりなど)が多い。こちらは、いまだ本文の日本語がいまひとつのままだ。
HTML形式のメールを使用しているため、見た目のリンクが公式サイトのものに見えたり、「こちら」と書かれたボタンに見えたりするが、実際には、正規サイトとは全く異なる偽サイトに誘導される。偽サイトには、「mp.resano-gr.co.jp.●●●●usa.cc」というように、本物のホスト名(なぜか「resano」だが)を織り込んでおり、油断していると本物と見間違えてしまうかもしれない。ここ数か月は、スクウェア・エニックスの偽サイトともども、「usa.cc」というフリードメインでサブドメインを取得し、偽サイトのホスト名に使用している。ホスト名や中継用のサイトを大量に用意することが多く、大量投入時には、フィッシング対策協議会のユニークなURL数が増加する。
偽サイトは、本物のログインページをコピーしているので、本物そっくりに見える。本物と違うのは、アドレスバーのURLと錠前マークや運営者名の表示がない点だ。ログインに続き、乱数表の数字をすべて入力させようとするところも、本物と大きく異なる点だ。これらに気づくことなく最後まで操作を続けてしまうと、後であなたになりすました攻撃者がネットバンキングを操作し、不正送金してしまうかもしれない。
【2】ハンゲーム系――「銀行の営業時間」に合わせたフィッシング攻撃
スクエニ系のフィッシングにもハンゲームをかたるものがあるが、それとは別のハンゲームのフィッシングを仕掛けるグループだ。昨年から「注意:ダイレクトのパスワードが翌日に失効し、○○のメンテナンスサイト(URL)により、更新をお願いします」という内容のSMSで誘導する、オンラインバンキングのフィッシングを繰り返していた一派で、今年に入ってからは、1月から4月にかけ、SMSで誘導する三井住友銀行のフィッシングが繰り返された。
1月に見つかったハンゲームのフィッシングでは、パスワードを変更した際に届く本物の通知を模した、精巧なフィッシングメールが使われた。8月に見つかった三井住友銀行とゆうちょ銀行のフィッシングに使われたメールがこれで(もちろんハンゲームも)、オンラインバンキングのフィッシングメールとしては、今年3月から5月にかけて行われたゆうちょ銀行のフィッシング以来になる。
「ご登録パスワード変更完了のお知らせ」という件名も、ハンゲームの公式通知そのままだ。本文も本物を流用しているので日本語の不自然さはなく、「お客さまご自身で変更した場合は、このメールを無視しても問題ありません。お客さまご自身で変更していない場合は盗用の可能性がございます。至急以下のURLをクリックしてください。」という本物どおりの内容に、思わず不正アクセスされたかのと焦り、リンクをクリックしてしまうかもしれない、
このフィッシングメールもHTML形式なので、見た目は公式サイトのURLに見える。よく見ると、ハンゲームのURLの残骸が残っているが、気づく人は少ないだろう。偽サイトのホスト名には、三井住友銀行なら「smbc」、ゆうちょ銀行なら「post」というように、本物に見せかける文字を織り込んだ紛らわしいドメイン名を使用するのが、この一派の特徴のひとつだ。今回は、ゆうちょ銀行に「dlrect」という名前も使われた。
誘導先の偽サイトは、以前に使用していたものの流用とみられる。三井住友銀行の偽サイトの稼働状態を確認できなかったので断定はできないが、以前と同じならパソコンとスマートフォンを識別して環境に合ったページを表示する。ゆうちょ銀行の偽サイトは、今春に使っていたものそのままで、パソコン用のページしかなく、モバイルページには以前と同様、みずほ銀行の偽サイトが設置されたままだった。
この一派が仕掛けるオンラインバンキングのフィッシングは、銀行の営業時間とほぼ同じタイミングで行われるのも大きな特徴だ。偽サイトを朝オープンし、SMSやフィッシングメールをばらまいて後には閉鎖してしまう。
偽サイトは、公式サイトの以前のトップページのコピーを背景に、ログインボタンをあしらったもので、ボタンを押すと本物をコピーしたログインページが現れる。スクエニ系と同様、アドレスバーのURLと錠前マークや運営者名の表示がないところが、本物との大きな相違点だ。
今回の偽サイトの調査では、ウソの入力ではログインページの先に進むことができなかったが、以前と同じつくりなら、ログインに必要な情報(異なる場所からアクセスした場合に必要な秘密の合言葉など)を集めた後、ワンタイムパスワードまで求めてくる。短時間で変更されるワンタイムパスワードは、後で使える乱数表と違い、その場で使用しないと意味がない。この偽サイトは、おそらくバックグラウンドで公式サイトに接続し、収集した情報を使ってリアルタイム処理することで、その場で不正送金を行っているのではないかと推察する。銀行の営業時間内しか活動しないのは、処理が翌営業日に持ち越されることなく即座に行われ引き出せるからと考えると、つじつまが合う。
再開して間がないこれらフィッシングは、りそな銀行が4連続、ゆうちょ銀行が2連続で攻撃が行われた以外、今のところ単発で終わっている。攻撃者は、どちらも過去に多数のオンランバンキングのフィッシングを手掛けており、スクエニ系に関しては、ターゲットを拡大しようとしているようで、りそな銀行以外は今回初めてのもの。過去の攻撃も、短期で終わったものもあれば、長期間にわたり執拗に攻撃を繰り返したものもあるので、もう少し様子を見ないと筆者には今後の展開が見えないが、フィッシング対策協議会は、今後も他の銀行をかたってフィッシングメールが送信される可能性があるとしている。
(2016/09/02 ネットセキュリティニュース)
【関連URL】
・2016/08 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201608.html
【告知】
[2016/08/04]Apple をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20160804.html
[2016/08/04]<更新>ハンゲームを名乗るなりすましメールについて(ハンゲーム)
http://info.hangame.co.jp/index.nhn?m=detail&infono=11633
[2016/08/04]ハンゲームをかたるフィッシング (フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/hangame_20160804.html
[2016/08/19]当社を装った不審なメールにご注意ください(ジャパンネット銀行)
http://www.japannetbank.co.jp/news/general2016/160819.html
[2016/08/19]ジャパンネット銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/japannetbank_20160819.html
[2016/08/19]福岡銀行をかたる偽メール(フィッシングメール)が不特定多数のお客様あてに送信されていますので、ご注意ください。(福岡銀行)
http://www.fukuokabank.co.jp/announcement/important/PAGE_040950.html
[2016/08/19]福岡銀行をかたるフィッシング (フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/fukuokabank_20160819.html
[2016/08/22]静岡銀行をかたる偽メールが不特定多数のお客さまに送信されていますので、ご注意ください(静岡銀行)
http://www.shizuokabank.co.jp/notice/detail/2892
[2016/08/22]京都銀行をかたる偽メール(フィッシングメール)が不特定多数のお客様あてに送信されていますので、ご注意ください。(京都銀行)
http://www.kyotobank.co.jp/common/img/urgency160820.jpg
[2016/08/22]【注意喚起】上智大学を装ったフィッシングメール(上智大学)
http://ccweb.cc.sophia.ac.jp/jo5oswoc4-26/
[2016/08/22,29]フィッシングメールに関する注意喚起 (慶應義塾大学)
http://www.hc.itc.keio.ac.jp/ja/news_20160822_email_phising_sfc.html
[2016/08/25]【重要】ASAHIネットを装った迷惑メールについて(朝日ネット)
http://asahi-net.jp/support/news/160825_1.html
[2016/08/29]【ご注意】銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて(りそな銀行)
http://www.resonabank.co.jp/direct/gochui/detail/20110907.html
[2016/08/29]りそな銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/resonabank_20160829.html
[2016/08/29]三井住友銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/smbc_20160829.html
[2016/08/30]ゆうちょ銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/japanpost_20160830.html