実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが、11月も繰り返し行われた。ネット上には、だまされてしまった方の被害報告も散見される。
フィッシング対策協議会の11月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は250件(前月比124件増)。ユニークなURL件数は159件(前月比77件減)、悪用されたブランド件数 (海外含む) は22件(前月比7件増)だったという。9、10月に各1回だった協議会の緊急情報は、11月は5回出された。
報告書の総評では、オンラインゲームをかたるフィッシングの報告件数が、報告全体の1/4であったことと、LINEをかたる新たなフィッシングサイトが見つかったのが、報告件数増加の原因としている。報告全体(250件)の1/4というオンラインゲームのフィッシングは、前月に報告全体(126件)の約半分と報告されていたもの。占める割合は1/2から1/4に減っているが、公表されている値から算出した件数は変わらない。LINEをかたるフィッシングも前月に報告されており、具体的な報告件数が公表されていないため増加の原因だったかどうがわからない。ただし、前月が月末の単発で終わったのに対し、11月は21日頃から断続的に続いており、12月に入ってからも続いているので、報告数が増えている可能性はある。
ちなみに編集部が観測した11月のフィッシングの発生状況は、10月に比べるとやや増加したものの、それほど大きな変化は見られない。オンラインバンキングを装うフィッシングの休止が続く一方で、アカウント情報とクレジットカード情報をだまし取るアップル、アマゾン、グーグルを装うフィッシングが繰り返し続き、大学のメールアカウントを狙うフィッシングの報告も相次いだ。
■激減したオンラインゲームを装うフィッシング
すっかり定番化したオンラインゲームを装うフィッシングだが、3月以降毎月観測されていた今年最多のスクウェア・エニックスが10月中旬で途絶え、11月は次点のハンゲームと、3年ぶりにネクソンを装うフィッシングだけだった。いずれも短期間で終息しており、連日、新たなホスト名を大量に投入しながら長期間に渡り繰り返す、以前のような執拗な攻撃は見られなかった。ひと月間に観測されるオンラインゲームを装うフィッシングの攻撃回数は、この半年間で6分の1にまで減少している。
3月以降の一連のフィッシングでは、誘導先の偽サイトにフリードメイン「usa.cc」のサブドメインを一貫して使用しており、頭に「hangame.co.jp.~」や「login.nexon.co.jp.~」というようなターゲットの公式サイトの名前を付け、本物に見せかけようとする手法も用いられている。これまでに投入された紛らわしいホスト名は、この9か月間で確認できたものだけも約1300件だ。
<ハンゲーム>
ハンゲームを装うフィッシングは、11月12日ごろに観測された。「【ハンゲーム】お問い合わせを受け付けました。(自動配信メール)」という件名で送られて来るフィッシングメールは、同社への問い合わせに対して送られる本物の自動返信メールと、スクウェア・エニックスの本物のログイン制限のお知らせメールを合体したもの。「スクウェア・ハンゲーム」というミスが残るものの、まともな日本語メールになっており、「ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード再設定を行ってください」といって、公式サイトのURLに偽装したリンクをクリックさせようとする。リンク先は、公式サイトのトップページそっくりに作られた偽サイトで、だまされてログインすると、ログイン情報を抜き取ってから公式サイトにログインさせるようになっていた。偽サイトから公式サイトにログインできてしまうと、騙されたことに気付けない可能性が高い。
<ネクソン1>
このハンゲームの偽サイトを撤去し、同じサーバ上にネクソンの偽サイトを設置して行ったのが、翌週末のネクソンを装うフィッシングだ。「【警告】異常な回数のログイン試行がありました」という件名で送られて来るフィッシングメールは、不正ログインの可能性がある場合に同社が送る、本物の警告メールを流用したもの。「至急、NEXONポータルサイトにアクセスの上、パスワード変更を行ってください」といって、公式サイトのURLに偽装したリンクをクリックさせようとする。実際のリンク先は、公式サイトそっくりに作られた偽のログインページで、ログイン情報を抜き取ってから公式サイトにログインさせるようになっていた。
同社の告知では、「入力後はエラーを表示させて、弊社の正規ログインページに遷移させる挙動も確認しております」とあるが、このエラーは正規サイトに遷移後に正規サイト側で表示しているもの。その後、偽サイトからログインしてきた場合には、「お客様は、NEXONをかたったフィッシングサイトでNEXON IDの情報を入力した可能性がございます。速やかに NEXON IDのパスワードを変更してください」と表示し、だまされてしまったユーザーが気付けるよう対策された。
<ネクソン2>
ネクソンを装うフィッシングが観測された翌週には、別のフィッシングメールと偽サイトを使ったネクソンのフィッシングが観測された。「【Tree of Savior】ご登録パスワード変更完了のお知らせ」という件名で送られたフィッシングメールは、ハンゲームでパスワードを変更した際に送られてくる、本物のパスワード変更通知を流用したもの。「お客さまご自身で変更していない場合は盗用の可能性がございます。至急以下のURLをクリックしてください」といって、公式サイトのURLに偽装したリンクをクリックさせようとする内容で、これまでに幾度となく、オンラインゲームやオンラインバンクのフィッシングで使われている。
誘導先の偽サイトは、Tree of Savior(ツリーオブセイヴァー)の用のログインページになっており、公式サイトにはログインせず、ログイン情報を抜き取ったあとは、公式サイトの「よくある質問」のページに飛ぶようになっていた。
■スマートフォンを狙うフィッシング
インターネットのアクセス手段がパソコンからスマートフォンへとシフトが進む中、フィッシングもスマホを意識したものが目立つようになった。電話番号あてにテキストメッセージを送る、SMSを使用したフィッシングや、スマホの画面に合わせたスマホ用のページを用意したフィッシングだ。この傾向は昨年から顕著になり、昨年、今年ともに、筆者が観測したフィッシングの4分の1近くを占めている。
11月の事例では、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というSMSで誘導するグーグルのフィッシング、「第三者による不正アクセスを検知したため、パスワードとお支払方法の再登録をお願いします」というSMSで誘導するアマゾンのフィッシングに加え、「セゾンNetアンサーご登録確認」というSMSで誘導するクレディセゾンのフィッシングが新たに確認された。アマゾンとクレディセゾンは、同時期にメールで誘導するフィッシングも観測されており、SMSで誘導するアマゾンのフィッシングサイトは、スマホ用とPC用の両方のページが用意されていた。
■偽物にだまされる人、本物を無視する人
ネット上には、アマゾンやアップルのフィッシングにだまされ、不正ログインされたり買い物されたりといった被害を受けた方の投稿がいくつかある。ログイン通知で不正アクセスに気付いてすぐ対処できたり、クレジットカード会社の監視のおかげで助かったりするケースもあるが、歯止めがかかるとは限らないので、できるだけ早い段階で偽物に気付き、被害を未然に防ぐようにしたい。メールやサイトの不審点のチェック、正規サイトやサポートでの確認などを怠らないよう心がけ、パスワードや登録情報の確認、変更などを求められた場合には、メールに記載されたリンクからではなく、ブックマークなどから正規サイトを開き、通常の手順で確認・変更するようにするとよい。
フィッシングの認知が進む一方で、本物の警告メールをフィッシングと勘違いして無視してしまう問題が発生している。大手のネットサービスを利用していると、ログインの通知やパスワード変更の通知が届くことがある。フィッシングも同じようなやり方でだまそうとするので、文面を見て怪しいと思ってしまうらしく、先週もフィッシングだと思って警告を無視していたら、Twitterのアカウントを乗っ取られたという投稿があった。ネクソンのフィッシングを伝える記事の中にも、次のような記述がある。
『ITmedia』:「お客様のIDやパスワードの情報が漏えいし、第三者から不正なアカウント利用を狙われている可能性がある」と不安をあおり
『Security NEXT』:心当たりがない場合は、アカウント情報が漏洩した可能性もあるなどと不安を煽り
『ScanNetSecurity』:ログイン“試行”なのにパスワード変更を要求
不審に思わせてしまった可能性のあるこれら文面は、同社の本物の警告メールをそのままコピペしたものだ。見た目にとらわれると、よくできた偽物にだまされるだけでなく、本物を偽物と勘違いしてしまう原因にもなる。見た目だけで判断せずに、いろいろな角度から真偽を検討し、本物の警告を無視してしまうことのないように注意していただきたい。
(2016/12/05 ネットセキュリティニュース)
【関連URL】
・2016/11 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201611.html
【告知】
[2016/11/07]標的型フィッシングメールについて(埼玉大学)
http://www.itc.saitama-u.ac.jp/modules/bulletin/index.php?page=article&storyid=298
[2016/11/08]Amazon をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/amazon_20161108.html
[2016/11/10]【注意喚起】フィッシング・なりすましメールの実例(同志社大学)
http://it.doshisha.ac.jp/news/2016/0201/news-detail-193.html
[2016/11/11]本学Active! mailのアカウント情報詐取を狙ったフィッシングメールについて(松山大学)
http://www.matsuyama-u.ac.jp/soshiki/115/info0225.html
[2016/11/14]【重要】ハンゲームを装ったフィッシングメールにご注意ください(ハンゲーム)
http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
[2016/11/14]ハンゲームをかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/hangame_20161114.html
[2016/11/17]メール管理者を騙った詐欺メールに関する注意(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2016/11/20161117phising.html
[2016/11/17]フィッシングメールに対する注意喚起 (2016年11月)(東京大学)
http://www.ecc.u-tokyo.ac.jp/announcement/2016/11/17_2390.html
[2016/11/18]【重要】ネクソンを装ったフィッシングメールにご注意ください(ネクソン)
http://www.nexon.co.jp/news/detail.aspx?no=132267
[2016/11/21]NEXON をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/nexon_20161121.html
[2016/11/23]【重要】ネクソンを装ったパスワード変更完了フィッシングメールにご注意ください(ネクソン)
http://www.nexon.co.jp/news/detail.aspx?no=132273
[2016/11/27]メール管理者を騙った詐欺メールに関する注意(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2016/11/20161127phising.html
[2016/11/28]セゾン Net アンサーをかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/saison_20161128.html
[2016/11/29]フィッシングサイトにご注意ください!(クレディセゾン)
http://www.saisoncard.co.jp/news/pop/nc20131226_phishing.html
[2016/11/30]LINE をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20161130.html
[2016/12/01]Apple をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20161201.html