先週末から週明けの26日朝にかけて、複数のブランドを装うフィッシングメールがばらまかれた。拙い日本語ですぐに偽メールとわかるものも多いが、うっかりクリックしてアカウント情報やクレジットカード情報を騙し取られないよう注意していただきたい。
国内のユーザーを狙うフィッシングメールは、出来不出来の差が激しく、とうてい騙せそうにないものから本物と見紛うものまでさまざまだ。本物をコピーした偽物は見た目では判別できないくらい精巧だが、偽物に真似が難しい部分をチェックすれば、簡単に見分けることができる。
■「精巧な偽物」を簡単に見分けるチェックポイント
サイトでログイン情報やクレジットカード情報、個人情報などを入力する際には、以下の2点を必ず確認していただきたい。それだけで簡単に真贋がわかり、最後の一線を越えることなく引き返すことができる。
(1)アドレスバーをチェックし、暗号化接続(HTTPS接続)を表す錠前マークが表示されていることを確認する。
(2)さらに、公式サイトの正しいURLまたは、正しい運営者名が表示されていることを確認する。(公式サイトを事前に確認しておく必要)
その前段階の識別方法として、メールに記載された見た目ではない本当のリンク先を確認するのも有効だ。「見た目のリンク先」と「本当のリンク先」が別というメールが多いので、見た目に騙されないよう注意したい。本当のリンク先の確認方法は、リンクの長押しやマウスオーバー、マウスの右クリックメニューなどアプリによって異なるので、事前に確認しておく。
Webメールなどのブラウザベースでは、見た目のリンクに加え、リンクのtitle属性が偽装されていることもあるので注意したい。マウスオーバー時にマウスポインタのそばに表示されるのは、リンクのtitleであることが多く、移動先の本当のURLは、ステータスバーに表示されることが多い。リンクをクリックせずに済むのならそれに越したことはないが、クリックする場合には、本当のリンク先URLが「https:」で始まる公式サイトのものかどうかを必ず確認するよう心掛けたい。
先週末から今朝にかけてばらまかれたフィッシングメールの概要を以下にまとめる。
■Netflix
映画やドラマのオンライン視聴サービス「Netflix」を装う「前回の支払いに問題があるためアカウントが保留になっています」という件名メールが、26日(月)未明から朝にかけてばらまかれた。登録された支払い方法が無効などの理由で料金が支払われていないという内容で、問題を解決するために「お支払方法を更新」をクリックさせようとする。リンクには、中国ドメイン(.cn)の無関係なサイトのURLが埋め込まれており、そこを経由していきなりクレジットカード情報を入力させるページが開く。HTTPS接続で錠前マークが表示され「netflix-account-auth」というそれらしい名前が織り込まれているものの、ドメインはNetflixとは無関係なものが使われている。
このフィッシングは、今月20日と22日にも行われており、23日付でフィッシング対策協議会から注意喚起が出ている。
<関連URL>Netflix をかたるフィッシング (2018/02/23)
https://www.antiphishing.jp/news/alert/netflix_20180223.html
■グランブルーファンタジー
25日(日)に「10000円!!全員プレゼント決定 ◇グラブル◇」という件名のメールが、無関係なメールアドレスからばらまかれた。ソーシャルゲーム「グランブルーファンタジー」の7期連続100万ダウンロード達成記念で、10000の円クーポンをプレゼントするという内容だ。ソフトバンクの会員サイト「MySoftbank」のログイン確認を行うとして、記載したURLをクリックさせようとする。リンクは偽装されていないが、「grblftsy1800spcamco」とそれらしい名前のドメインを使用している。誘導先は、錠前マークのない暗号化されていないサイトであるにもかかわらず、MySoftBankのアカウント情報(携帯電話番号とパスワード)とメールアドレスを入力させようとする。
このフィッシングは昨年から度々行われており、今月21日にも行われたほか、今月10日から21日にかけては、モンスターストライクのキャンペーンを装う同様のフィッシングが数回行われている。
■LINE
ほぼ毎日行われているフィッシングで、先週末の土曜日は休みだったが、その後の日曜、月曜とまたメールがばらまかれている。メールの件名は、1月から使用していた「[LINE] 問題報告」が、今月19日頃から「LINEログイン保護を設置」に変わっている。それまでの「二段階パスワード」の設定を促す内容が「ログイン保護」の設定を促す内容になり、記載したリンクをクリックさせようとする。差出人の表示名やメールアドレスが偽装されており、表示名はたいてい「LINE」だが、メールアドレスは同社のほかに他社の公式アドレスに見せかけることも多い。
メールに記載したリンクは公式サイトに偽装されているが、実際のリンク先は、たいてい「http://www.line●●.cn/」(●●は2~3文字のアルファベット)という、HTTPS接続ではない中国ドメインのURLになっている。そこにログインさせ、電話番号とSMSで送られてくる認証コードを騙し取ってLINEを乗っ取るのがこのフィッシングだ。この方法でLINEを乗っ取られると、登録していた友だちリストがそのまま相手に渡ってしまう。友だちリストの面々に、あなたに成りすましたギフトカードの購入依頼メッセージが送られることになる。あっという間に知り合いを巻き込んでしまうことになるので、くれぐれも注意していただきたい。
メールの「件名と内容が若干変わったタイミングで、このフィッシングに関する注意喚起がフィッシング対策協議会から出ている。
<関連URL>・LINE をかたるフィッシング (2018/02/20)
https://www.antiphishing.jp/news/alert/line_20180220.html
■アマゾン
こちらも長期にわたり続いているフィッシングだが、今月に入ってからは「あなたの情報を更新する」や「あなたの助けが必要です!」という件名のメールが頻繁にばらまかれている。内容は、24時間以内にアカウント情報を更新しないと制限するというもので、25日(日)にも同じものがばらまかれている。メール内の「今すぐ更新」をクリックすると偽のログインページが開き、ログインするとアカウントが一時無効になっているので、フォームに入力してロックを解除するよう求め、クレジットカード情報を入力させようとする。HTTPS接続なので錠前マークが表示され、無関係なドメインを使うこともあれば、紛らわしい名前を織り交ぜることもある。偽サイトのデザインからは、一昨年から続いている攻撃者のものとみられる。
■アップル
同じく毎日続くフィッシングで、週末からの3日間で次の4種類の件名のメールが見つかっている。いずれも、誘導先の偽サイトにログインさせ、クレジットカード情報などを騙し取ろうとするもの。差出人名は「Apple」などに偽装されており、メールアドレスも一部公式メールに偽装したものがある。本物のアップルのログインページは、アドレスバーに錠前マークが付いた「apple.com」または「icloud.com」のドメインで、「Apple Inc.」という運営者名が表示される。
・件名:[※タイムスタンプ]を使用して新しいブラウザにログインしました。
※タイムスタンプの部分には日時が記載されており、Apple IDを使って新しいブラウザからiCloudにサインされたという内容のもの。身に覚えがなければパスワードを変更するよう促し、「AppleIDにログインする」をクリックさせようとする。
・件名:Security issue has been detected
英語の件名だが本文は日本語で、アカウントの検証を行わないとApple IDが停止されるというもの。定期的なセキュリティチェック中に、アカウント情報に問題が見つかったとして「確認を完了するにはここをクリック」をクリックさせようとする。
・件名:[アラート- 最近の活動]お支払いが予定されています
1TBのiCloudストレージプランを購入したとう請求を装う内容で、キャンセルするかダウングレードしないと、4291円が毎月請求されるといって「即時取り消しをクリックしてください」をクリックさせようとする。
・件名:あなたのApple IDのセキュリティ質問を再設定してください。
Apple IDがiCloudのサインインに使用されたという内容で、身に覚えがなければApple IDでパスワードをリセットするよう促す。文中の「Apple IDでパスワードをリセットしてください」のApple IDがリンクになっている。
(2018/02/27 ネットセキュリティニュース)