実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、元日を除く30日間、毎日続いた。繰り返し行われるアップル、アマゾン、LINEに加え、1月もクレジットカード会社を装うフィッシングが観測された。
フィッシング対策協議会の2018年1月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は、878件(前月比287件減)。ユニークなURL件数は、537件(前月比28件減)。悪用されたブランド件数 (海外含む) は、25件(前月比1件増)。同協議会が出した緊急情報は、アップルとMUFGカードの2回だったが、2月1日掲載のクレディセゾンを装うフィッシングが1月末の内容なので、実質3回となる。
協議会の総評では、前月に引き続きアップルとLINEのフィッシング報告が多く、クレジットカードブランドをかたるフィッシングも複数発生。仮想通貨に関するブログ記事に、フィッシングサイトのURLが掲載される事例も報告されたという。編集部の観測では、相変わらずアップル、アマゾン、LINEの3ブランドのフィッシングが多く、メール等での誘導が行われた日数(ネットの投稿などで受信日が確認できるもので、サイトの稼働確認ができないものも含む)は、アップルが25日(前月28日)、アマゾンが19日(前月22日)、LINEが21日(前月20日)だった。
月の後半には、クレジットカード会社を装うフィッシングも引き続き観測されており、三菱UFJニコスが5日(前月5日)、クレディセゾン4日(前月1日)に加え、新たに楽天カードのフィッシングメールが3日間ばらまかれた。楽天カードを装うメールには、マルウェアをダウンロードさせるメールが度々ばらまかれているが、この3日間にばらまかれたメールは、それらとは別のもの。アマゾンなどのフィッシングを手掛けているグループのひとつが仕掛けたもので、設定ミスがあったらしく、3回とも偽サイトにはアクセスできなかった。
■アップルを装うフィッシング
相変わらず複数のグループがフィッシングを仕掛けているようだが、メールの種類も頻度も少なくなっており、ピークだった昨年9月の3分の1程度となっている。偽の請求書の支払いをキャンセルさせようとする手口と、アカウントの確認を求める手口が相変わらず使われており、誘導先の偽サイトにログインさせ、クレジットカード情報を騙し取ろうとする。
1月に最も多かったのは、「Appleからの領収書です」などの件名で偽の領収書を送るメールと、「お使いのApple IDは、セキュリティの問題により使用が停止されています」という件名で、誰かに支払い設定を変更されたと思わせる内容のメールで、ともに12回ばらまかれた。次いで、Apple IDをロックしたので解除するよう促す、「ご利用のApple IDがブラウザ上のApple Storeへのサインインに使用されました」という件名のメールの11回。協議会が緊急情報を出した「あなたのApple IDのセキュリティ質問を再設定してください。」という件名のメールがばらまかれたのは、1回だけだった。
■アマゾンを装うフィッシング
アップルほどではないが、こちらも複数のグループが仕掛けており、数パターンのフィッシングメールと偽サイトが確認されている。いずれも、誘導先の偽サイトにログインさせ、クレジットカード情報を騙し取るフィッシングだ。
1月に最も多かったメールは、「第三者による不正アクセスを検知したため、パスワードを見直し、お支払方法の再登録をお願いします」という件名で、ばらまかれたのは12回。次いで、アカウントが利用規約に違反する購入に使われたので無効にしたと理不尽なことを言ってくる「あなたのセキュリティのために、私はあなたのアカウントをしばらく見直しました。」という件名のメールで、3回ばらまかれた。
■LINEを装うフィッシング
LINEの場合は、仕掛けているのは単独の攻撃グループで、ログイン情報と電話番号、認証コードを入力させてLINEを乗っ取ろうとする。乗っ取ったLINEに登録されている友だちにメッセージを送り、コンビニでプリペイドカードを購入させ、番号を送らせて騙し取るのが目的だ。
ばらまかれたフィッシングメールのうち、1回だけ「[LINE]二?ログイン保護設置」という件名が使われたが、ほかは全て「[LINE] 問題送信」という件名だった。全て「最近アカウントが盗まれる事件が多くあり、当社はお客様のアカウントの安全を確保するために、二段階パスワードの設置いたしました。」(原文ママ)という文面で、リンク先で「二段階パスワード」を設定するよう促す内容だ。
■クレジットカード会社を装うフィッシング
<三菱UFJニコス>
「【重要:必ずお読みください】」や「【重要】三菱クレジットカードから緊急のご連絡」という件名のメールが、週末を狙って計4回、「Important」とう件名のメールが月曜に1度だけばらまかれた。
前者は、数年前から断続的に行われている、第三者によるアクセスがあり登録IDを暫定的に変更したのでログインして再変更するよう促す内容のもの。誘導先は、公式サイトと同じように、同社が扱う複数のブランドの中からカードを選択するようになっており、それぞれの偽登録ページで、クレジットカード情報や個人情報などの登録情報一式を入力させようとする。
「Important」とう件名の後者は、「アカウントを確認するには、ウェブ上の登録カードを確認する必要があります。それを確認するには、をクリックしてください」(原文ママ)というつたない日本語のメールで、昨年6月に行われたフィッシングと同じ攻撃者とみられる。誘導先は、前掲の複数ブランドに対応したものとは違い、MUFGカードの登録ページだけの簡素な偽サイトだ。
1月22日付の協議会の緊急情報では、これら2種類のメールの文面と、前者のメールの誘導先サイトの画面が確認できる。
<クレディセゾン>
「【重要:必ずお読みください】」という件名のメールが1回、「Saison Net Answer - Saizon Card」という件名のメールが3回ばらまかれた。
三菱UFJニコスのフィッシングメールの件名と同じ前者は、同じ攻撃者が仕掛けたもの。名称が「セゾンNetアンサー」になっていた以外は、内容もよく似ている。誘導先は、会員サイト「Netアンサー」の登録ページで、クレジットカード情報や個人情報などの登録情報一式を入力させようとする。
後者は、「あなたは1500ポイントを受け取った(7500円)」「私たちのウェブサイトに行き、あなたの報酬を得る」というつたない日本語のメールで、セゾンカードの偽のキャンペーンページに誘導し、クレジットカード情報を入力させようとする。2月1日付の協議会の緊急情報で、メールの文面と誘導先サイトの画面が確認できる。
<楽天カード>
「注意:【楽天】不正アクセスを検知したため、パスワードを見直し、お支払い方法の再登録をお願いします」という件名のメールが3回ばらまかれたが、3回とも誘導先サイトの名前解決(ホスト名を問い合わせてIPアドレスに変換すること)ができず、偽サイトにはアクセスできなかった。同じ攻撃者が昨年仕掛けたフィッシングでは、偽の「楽天e-NAVI」にログインさせ、サービス開始手続きと称してクレカ情報を入力させようとしていた。
(2018/02/23 ネットセキュリティニュース)
【関連URL】
・2018/01 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201801.html
・[更新] Apple をかたるフィッシング (2018/01/23)
https://www.antiphishing.jp/news/alert/apple_20180123.html
・MUFG カードをかたるフィッシング (2018/01/22)
https://www.antiphishing.jp/news/alert/mufgcard_20180122.html
・セゾン Net アンサーをかたるフィッシング (2018/02/01)
https://www.antiphishing.jp/news/alert/saison_20180201.html