« ◆ネット広告やSNSで若者が詐欺被害――「簡単」「短時間」「もうかる」話に注意(2017/03/23) | メイン | ◆アップル、深刻な脆弱性を修正したmacOSやiOSなどの最新版を公開(2017/03/28) »

2017/03/24

◆さまざまなブランドを装うフィッシングに注意(2017/03/24)

 先週から今週にかけ、さまざまな企業やサービスをかたるフィッシングメールやSMSが相次いでいる。特に週末は、注意喚起の告知や偽サイトの閉鎖、アカウントの停止や復旧などの手続きが滞ってしまうことも多いので、騙されないよう注意していただきたい。

 実在する企業やサービスを装うメールなどを送り、それらしい理由をつけて偽のサイトへと誘導し、アカウント情報やクレジットカード情報などを入力させて騙し取ろうとするのがフィッシングの基本的な手口だ。先週から今週にかけて発生した、国内のユーザーを狙った主なフィッシングの特徴をまとめておく。実際の文面や偽サイトの様子は、公式サイトやフィッシング対策協議会の注意喚起を参照していただきたい。ここでご紹介するフィッシングは、先週から今週にかけて行われたものばかりだが、毎回必ず注意喚起が出るというわけではないので、参考URLには少し古いものも含まれていることをご了承いただきたい。

■マイクロソフト(直近:3月17日)

 攻撃者は今のところ1つで、誘導手段にはメールが用いられている。差出人は、表示名を「マイクロソフトセキュリティチーム」などに偽装し、メールアドレスに企業や個人など不特定多数のメールアドレスを勝手に使用している。メールの内容は、オフィスソフトのプロダクトキーが何者かにコピーされているので認証作業を行うようにというもの。クリックすると、同社とは無関係なURLの中継サイトを経由して、オフィスの公式サイトに見せかけた偽サイトに誘導される。偽サイトのURLは、「support」や「security」などの文字列に「microsoft」や「office」を織り込んだやや長いもの。公式サービスと違いHTTPS接続ではないため、錠前マークも「Microsoft Corporation」という運営者名も表示されない。

<参考URL>
・[更新] マイクロソフトをかたるフィッシング (2017/03/17)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/microsoft_20170317.html

■クレディセゾン(直近:3月17日)

 攻撃者は複数あるが、直近のものは、頻繁に行われているセディナやJCBなどのフィッシングと同じグループの攻撃と見られる。このグループの誘導手段はもっぱらメール。差出人は、表示名を「セゾンNetアンサー」などに偽装しており、国内大手プロバイダのメールアカウントを悪用して送信されることが多い。「【重要:必ずお読みください】」などの件名で送られるメールは、第三者によるアクセスがあり登録IDを暫定的に変更したので、ログインして設定するよう促し、同社の会員サイト「Netアンサー」の偽サイトへと誘導する。他のブランドのフィッシングメールも同様の手口で、それぞれの会員サイトの登録フォームをコピーした偽サイトへと誘導し、クレジットカード情報や個人情報などの登録情報一式を詐取しようとする。偽サイトのURLには、クレディセゾンなら「saison」や「saisocard」というような、各社の名前を織り込んだ紛らわしいドメイン名が使われることが多いが、HTTPS接続ではないため、錠前マークも「Credit Saison Co.,Ltd.」という運営者名も表示されない。

<参考URL>
セゾン Net アンサーをかたるフィッシング (2017/03/17)
https://www.antiphishing.jp/news/alert/saison_20170317.html

■アップル(直近:3月18日)

 攻撃者が複数いるようだが、いずれも誘導手段としてメールを用いている。差出人を公式メールに偽装したものと偽装していないものがあるほか、しばしば英文メールも舞い込んでくる。メールの内容は、アカウントがロックされるなどの理由で手続きや確認を求めたり、身に覚えのない請求書メールで購入をキャンセルさせたりする手口でリンクをクリックさせようとする。メールの中身が「情報サポートID.pdf」という添付ファイルに書かれたものも報告されている。
 誘導先は、本物のApple StoreやApple IDのログインページを模したものだが、翻訳が不完全で怪しい日本語になっていることもある。URLには、アップルとは全く無関係なものと、「apple」の文字列を織り込んだ長いものがあり、HTTPS接続で錠前マークが表示される偽サイトも多いので注意したい。ドメインが「apple.com」であることや、アドレスバーに「Apple Inc.」という運営者名が表示されていることを必ず確認していただきたい。

<参考URL>
・Apple をかたるフィッシング (2017/02/07)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170207.html
・Apple をかたるフィッシング (2017/02/09)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170209.html

■アマゾン(直近:3月19日)

 攻撃者は複数。最近はもっぱらメールによる誘導だが、昨年は、電話番号あてに短いメッセージを送るSMSを使った誘導も頻繁に観測された。差出人を偽装したものが多いので、差出人を見て本物と早合点しないよう注意したい。メールの内容は、アカウントが無効になったとか不審なアクセスあったというような異常を理由に、記載したリンクをクリックして確認するよう促す。誘導先の偽のログインページにログインさせ、クレジットカード情報などをだましとる手口だ。
 誘導先には、全く無関係なURLを用いたものもあるが、短縮URLや中継サイト(リダイレクタ)を使うパターンや、紛らわしい名前を用いるケースもある。HTTPS接続で錠前マークが表示される偽サイトもあるので、ドメインが「amazon.co.jp」であることも合わせて確認していただきたい。

<参考URL>
・Amazon をかたるフィッシング (2017/01/31)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/amazon_20170131.html

■グーグル(直近:3月23日)

 攻撃者は今のところ1つで、誘導手段にはもっぱらSMSが使われている。送信元は、同社の認証SMSに使われる海外の電話番号や「Google」という名前ではなく、「070」「080」「090」といった国内の携帯番号になっている。先週から今週にかけては、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というメッセージが送られているが、このほかに「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」というメッセージで誘導することもある。
 誘導先には、このフィッシングが始まった昨年7月からホスティンガーの無料サーバが使われており、同社が提供するドメイン(「96.lt」や「pe.hu」など)に2~3文字のアカウント名を付けたホスト名をそのま使用している。googleとは無関係のURLだが、名前が短いので、「goo.gl」のような短縮URLと勘違いしてしまうかもしれない。クリックすると、アカウント情報やクレジットカード情報を入力するフォームがいきなり表示される。公式のサービスと違いHTTPS接続ではないため、錠前マークが表示されない。

<参考URL>
・Google Play をかたるフィッシング (2017/03/15)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/googleplay_20170315.html


■ウェブマネー(直近:3月23日)

 スクウェア・エニックスやNEXONなどの、オンラインゲームのフィッシングを執拗に続けていたグループは、銀行や決済関係のフィッシングを仕掛けることもある。このウェブマネーのフィッシングは、昨年12月の攻撃に続くもので、誘導先の偽サイトは、先月NEXONの偽サイトを設置していたサーバが流用されていた。このグループの主な誘導手段はメール。いくつかのパターンがあるが、「安全確認」や「こんにちは!」という書き出しで始まるメールを覚えている方も多いだろう。今回のフィッシングメールは、差出人を「WebMoneyファンクラブ事務局」に偽装した、「ご登録パスワード変更完了のお知らせ」という件名のもの。文面には、ハンゲームの本物のパスワード変更通通知が流用されており、フィッシングメールにありがちな日本語の不自然さはない。
 誘導先の偽サイトは、本物のウェブマネーウォレットのログインページをコピーしたもので、本物と同様、ウォレットIDとパスワード、セキュアパスワード(4桁の暗証番号)を入力してログインするようになっている。偽サイトには、このログインページしかないが、これだけでウォレットで支払うことができるので注意していただきたい。URLに「webmoney」の名前を織り込んだ紛らわしいドメイン名が使われているが、公式サイトと違いHTTPS接続ではないため、アドレスバーに錠前マークも「WebMoney Corporation」という運営者名も表示されない。ここだけ注意すれば、偽物に気付けるはずだ。

<参考URL>
・【ご注意】ウェブマネー(WebMoney)をかたる偽メールにご注意ください(ウェブマネー)
http://www.webmoney.jp/news/2017/7808.html
・ウェブマネーをかたるフィッシング (2017/03/24)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/webmoney_20170324.html

■LINE(直近:3月23日)

 LINEを乗っ取り、友だちに登録されている相手にウェブマネーを購入させ騙し取ろうとする攻撃で、同じ攻撃者がほぼ毎日フィッシングメールをばらまいている。メールの差出人は、表示名もメールアドレスも公式のものに偽装しているが、中身は「お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします」という少し不自然な日本語で書かれている。リンクは公式サイトのURLに見えるが、実際のリンク先は公式サイトに似せた「www.lineline●●.me」(●●はその都度変わる数文字の英字)などの偽サイトだ。
 LINEのアカウントは、主に機種変更時に用いるもの。新しいスマートフォンにインストールしたLINEに、アカウントに登録していあるメールアドレスとパスワードを使ってログインし、アカウントに紐づけられた電話番号あてにSMSで送られて来る4桁の番号を入力すると、友だちリストや購入したスタンプなどの以前の登録情報を引き継ぐことができる。この機能を悪用して、LINEを乗っ取ろうとするのが、連日繰り返されているこのLINEフィッシング。SMS宛てに届く4桁の認証番号が最後の砦なので、絶対に他人に教えないようにしていただきたい。

<参考URL>
・[更新] LINE をかたるフィッシング (2017/03/16)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20170316.html

(2017/03/24 ネットセキュリティニュース)

投稿情報: 15:40 |

|