5月のフィッシング状況は前月と同じく、LINEとグーグルがほぼ毎日、アップルとアマゾンもそれに次ぐ頻度で観測された。この4ブランドの中で最も攻撃頻度が低いのがアマゾンで、三菱UFJニコスとクレディセゾンへの攻撃はそれとほぼ同程度だった。
■LINE――メール件名「LINE変更確認」に変更
LINEを乗っ取り、友だちに登録されている相手にウェブマネーを購入させて騙し取る攻撃のフィッシング版で、同じ攻撃者がほぼ毎日フィッシングメールをばらまいている。昨年から使われていたフィッシングメールが5月26日に、「LINE変更確認」という件名のメールに変更された。アカウントの変更申請の確認を装う内容で、本人以外の操作ならリンクをクリックして申請を解除するよう促す。詳しくは、下欄「関連記事」を参照。
■グーグル――携帯番号「070」「080」「090」発信SMSで誘導
国内のユーザーを狙う攻撃者は今のところひとつで、電話番号あてに短いメッセージを送るSMSを使って誘導する。「070」「080」「090」といった国内の携帯番号から送られて来るのが特徴で、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」という文面でリンクをクリックさせようとする。誘導先は、Google Playの偽の登録フォームで、クレジットカード情報などをだまし取ろうとする。
■アップル――HTTPS接続で錠前マーク表示の偽サイトも多い
複数の攻撃者が、いろいろなパターンのメールをばらまいており、アカウントがロックされるなどの理由で手続きや確認を求めたり、身に覚えのない請求書メールで購入をキャンセルさせたりする手口で、リンクをクリックさせようとする。怪しい日本語のメールや英文メールも多いが、差出人を公式メールに偽装したものや、本物のメールをコピーしただまされやすいメールもあるので注意したい。
誘導先のフィッシングサイトには、デザインの異なるものが何種類かあり、よくできたものから残念なものまで千差万別だが、ログインさせてクレジットカード情報などを入力させようとする手口は共通している。紛らわしい名前のURLや、HTTPS接続で錠前マークが表示される偽サイトも多いので注意していただきたい。
■アマゾン――差出人偽装メールやHTTP接続に錠前マーク表示の偽サイトも
アップル同様、複数のパターンのメールとフィッシングサイトがある。「不正アクセスが検出された」「アカウントが無効になった」「アカウントを確認してください」「支払い情報を更新する必要がある」などの内容で偽サイトへと誘導し、ログインさせてクレジットカード情報などを騙し取ろうとする。差出人を偽装したフィッシングメールもあり、紛らわしい名前のURLや、HTTPS接続で錠前マークが表示される偽サイトも多いので注意していただきたい。
■三菱UFJニコスとクレディセゾン――同じ攻撃者とみられる手口
同じ攻撃者によるものとみられ、メールには、「重要:必ずお読みください」という件名と、公式らしく偽装した差出人の表示名と、悪用されたとみられる国内大手プロバイダのメールアドレスが用いられることが多い。内容は、第三者によるアクセスがあり登録IDを暫定的に変更したのでログインして再変更するよう促すもので、紛らわしい名前のURLをクリックさせて、本物の会員サイトの登録ページをコピーした偽サイトへと誘導する。本物と違いHTTPSで接続できなので、錠前マークや運営者名の表示を確認すれば簡単に偽物を見分けられる。
(2017/06/08 ネットセキュリティニュース)
【関連URL:フィッシング対策協議会】
・LINE をかたるフィッシング (2017/05/29)
https://www.antiphishing.jp/news/alert/line_20170529.html
・[更新] セゾン Net アンサーをかたるフィッシング (2017/05/15)
https://www.antiphishing.jp/news/alert/saison_20170515.html
・[更新] MUFG カードをかたるフィッシング (2017/05/15)
https://www.antiphishing.jp/news/alert/mufgcard_20170515.html
【関連記事:ネットセキュリティニュース】
・まだまだ続く「LINE乗っ取り」、なりすましメールやメッセージに注意(2017/05/30)