実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシングが、3月、4月も繰り返し行われた。
フィッシング対策協議会の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は、3月が前月から73件減少し710件、4月はさらに304件にまで減少した。ユニークなURL件数は、3月が前月から81件増加し330件、4月は269件に減少した。悪用されたブランド件数 (海外含む) は、3月22件(前月比6件増)、4月19件(前月比3件減)となっている。
協議会からの緊急情報は、3月がマイクロソフト2回と、ウェブマネー、クレディセゾン、グーグル、LINEの計6回。4月が三菱UFJニコス2回とアップル、アマゾンの計4回だった。報告数や告知数が減ると、フィッシングが減ったように感じるかもしれないが、これらは必ずしも攻撃の増減とは同期していないので注意したい。報告件数は、標的への興味や注目度、攻撃の規模や頻度に左右される。ユニークなURL件数は、攻撃の頻度や手法に左右される。筆者の観測では、攻撃頻度は昨年末から高止まりが続いており、3月4月はやや増加傾向にある。
3月から4月にかけて観測されたフィッシングは、グーグルとLINEがほぼ毎日。アップルとアマゾンもそれに準ずる高い頻度で行われた。協議会の報告では、2月に報告の多かったLINEやアップルをかたるフィッシングの報告件数が3月に減少したとある。協議会のこれらに関する緊急情報は、各1回しかない。同じものが毎日続いても、いちいち全てを報告したり告知したりはしないということだろう。
一方、協議会から月に2回ずつ告知が出たマイクロソフトと三菱UFJニコスは、告知の前後に数日続いたが、それ以外は行われておらず攻撃頻度は低い。標的の注目度が高い、適度な間隔で行われた、手口が変わったなどの理由で露出が増えたと思われる。特にマイクロソフトのフィッシングは、ネット上でも大きな話題になっていた。
<関連URL>
・2017/03 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201703.html
・2017/04 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201704.html
■LINE――絶対に教えてはいけない「SMS宛てに届く4桁の認証番号」
LINEを乗っ取り、友だちに登録されている相手にウェブマネーを購入させ騙し取る攻撃のフィッシング版で、同じ攻撃者がほぼ毎日フィッシングメールをばらまいている。
メールは、差出人の表示名やメールアドレスを公式に偽装したもので、中身は「お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします」という少し不自然な日本語で書かれている。リンクは公式サイトのURLに見えるが、実際のリンク先は公式サイトとは無関係だ。以前は公式と同じ「.me」ドメインに「line」の文字列を織り込んだ紛らわしいドメイン名を使用していたが、4月以降は、無関係な中国(.cn)ドメインの偽サイトへと誘導している。
LINEのアカウントは、主に機種変更時に用いるもの。新しいスマートフォンにインストールしたLINEに、アカウントに登録してあるメールアドレスとパスワードを使ってログインし、アカウントに紐づけられた電話番号宛てにSMSで送られてくる4桁の番号を入力すると、友だちリストや購入したスタンプなどの以前の登録情報を引き継ぐことができる。連日繰り返されているLINEフィッシングは、この機能を悪用してLINEを乗っ取ろうとする。SMS宛てに届く4桁の認証番号は、LINEアカウントを守る最後の砦なので、絶対に他人に教えてはいけない。
<関連URL>
・[更新] LINE をかたるフィッシング (2017/03/16)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20170316.html
■グーグル――誘導手段は「国内携帯番号から送信されるSMS」
国内のユーザーを狙う攻撃者は今のところひとつで、電話番号あてに短いメッセージを送るSMSが誘導手段に使われている。「070」「080」「090」といった国内の携帯番号から送信されているのが特徴だ。以前は、「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」というメッセージで、アンチウイルスソフトの偽販売サイトに誘導する手口もあったが、現在送られているSMSは、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というもので、Google Playの偽の登録フォームへと誘導する。
誘導先には、主にホスティンガーの無料サーバーが使われており、同社が提供するドメイン(96.lt、hol.es、pe.hu、16mb.com、esy.es)に2~3文字のアカウント名を付けた短いホスト名が使われている。テキストメッセージのSMSは、リンク先を偽装できないので、見慣れないURLやHTTPS接続ではないことで偽物に気付くことができる。
なお、Googleに関しては、「動画サイトの視聴履歴があり未納料金が発生しています。本日ご連絡ない場合民事請求手続きに移行します」というような内容のSMSを送り、電話をかけさせようとする架空請求の報告もある。絶対に電話しないよう注意していただきたい。
<関連URL>
・Google Play をかたるフィッシング (2017/03/15)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/googleplay_20170315.html
■アップル――「HTTPS接続の偽サイト」も多いので注意
攻撃者は複数で、誘導手段にはメールが用いられる。差出人を公式メールに偽装したものと偽装していないものがあるほか、しばしば英文メールも舞い込んでくる。メールの内容は、アカウントがロックされるなどの理由で手続きや確認を求めたり、身に覚えのない請求書メールで購入をキャンセルさせたりする手口で、リンクをクリックさせようとする。
誘導先は、本物のApple StoreやApple IDのログインページを模したものだが、翻訳が不完全で日本語が怪しいものや、英語版の偽サイトしか用意されていないこともある。URLには、アップルとは全く無関係なものと、「apple」の文字列を織り込んだ長いものがあり、HTTPS接続で錠前マークが表示される偽サイトも多いので注意したい。ドメインが「apple.com」であることや、アドレスバーに「Apple Inc.」という運営者名が表示されていることを必ず確認していただきたい。
<関連URL>
・Apple をかたるフィッシング (2017/04/19)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170419.html
(2017/05/09 ネットセキュリティニュース)