最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆モジラ、深刻な脆弱性を修正した「Firefox 59.0.1」を緊急公開(2018/03/19) | メイン | ◆グーグル、深刻な脆弱性を修正した「Google Chrome 65.0.3325.181」(2018/03/22) »

2018/03/20

◆2018年2月の国内フィッシング事情(2018/03/20)

 実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、2月も休むことなく毎日続いた。連日のように繰り返すアップル、アマゾン、LINEに加え、2月もクレジットカード会社を装うフィッシングが複数観測された。

 フィッシング対策協議会の2018年2月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、836件(前月比42件減)。ユニークなURL件数は、648件(前月比111件増)。悪用されたブランド件数 (海外含む) は、30件(前月比5件増)。同協議会が出した緊急情報は、クレディセゾン、三菱UFJニコス、全国銀行協会、アップル、LINE、Netflix、ソフトバンクの7回だった。ただし、告知のあったクレディセゾンは1月のもの、全国銀行協会は昨年の残骸が今になって発見されたものなので、2月の告知は実質5回となる。

 協議会の総評では、複数のクレジットカードブランドをかたるフィッシングや、メールアカウントやサービスの不正利用を目的としたフィッシングなど、多くの種類のフィッシング報告が寄せられたという。また、国内ユーザーを狙って文面が英語から日本語へ変わったフィッシングメールが確認されたブランドもあるとしている。

 編集部の観測では、相変わらずアップル、アマゾン、LINEの3ブランドのフィッシングが多く、メール等での誘導が行われた日数(ネットの投稿などで受信日が確認できるもので、サイトの稼働確認ができないものも含む)は、アップルが25日(前月25日)、アマゾンが17日(前月19日)、LINEが21日(前月19日)だった。

 これら3ブランドのフィッシングの概要は、末尾に記載した「1月のフィッシング事情」を参照していただきたい。ここでは、2月に観測されたクレジットカード会社と、その他の主なフィッシングの概要をご紹介する。

◇クレジットカード会社を装うフィッシング
 ――クレディセゾン、三菱UFJニコス、三井住友カード

■クレディセゾン

 協議会の緊急情報にあるタイプのフィッシングではなく、数年前から続いている「【重要:必ずお読みください】」などの件名のメールで誘導するタイプが、2月最初の週の週末に行われた。今月も先週末に行われており、協議会の次の緊急告知で概要が確認できる。

・セゾン Net アンサーをかたるフィッシング (2018/03/19)
https://www.antiphishing.jp/news/alert/saison_20180319.html

 特徴を少し補足すると、メールの差出人は表示名を「《セゾン》Netアンサー」や「重要通知」に偽装しているが、無関係なプロバイダメール等のメールアドレスになっている。2月時の件名は、「【重要:必ずお読みください】」のほかに「【重要:必ずお読みください】セゾンNetアンサーご登録確認 時分秒」というパターンも使われた。

 「第三者によるアクセスを確認した」というお決まりの内容で、クリックさせるリンクは、偽装なしでURLが記載されており、「saison-card」や「saiisoncard」というように、紛らわしいドメイン名を使用する。先週末の場合は「saison-jp」だ。誘導先は、同社の会員サイト「Netアンサー」の登録ページをコピーしたもので、クレジットカード情報や個人情報などの登録情報一式を入力させようとする。

 週末のフィッシングは、告知や閉鎖などの対応が遅れがちで、2月2日(金)から観測されたが告知はなく、7日(水)まで稼働を続けた。先週は17日(土)から観測されたが告知と閉鎖が行われたのは19日(月)だった。

■三菱UFJニコス

 クレディセゾンと同じ2月2日(金)からの週末に、三菱UFJニコスのフィッシングも並行して行われた。5日(月)早々に閉鎖され、協議会からは稼働中のクレディセゾンではなく、閉鎖したこちらの緊急告知だけが出た。

 クレディセゾンのフィッシングを仕掛けているグループは、三菱UFJニコスのフィッシングも手掛けているが、本件は別のグループが仕掛けたと見られる。差出人を公式のメールアドレス(いろいろな名前@mufgcard.com)に偽装し、「【重要】三菱クレジットカードから緊急のご連絡」「[重要※緊急] 三菱クレジットカードから緊急のご連絡」といった件名のメールがばらまかれた。本文の冒頭に「●●●●様」と氏名が入って送られているのが、他のフィッシングメールにはない大きな特徴だ。

 メールのリンク先は偽装しておらず、間にjpを含む無意味な英数字を羅列した.infoサイトのURLが記載されている。誘導先は大量にあるが、偽サイト本体はそこにはなく、ページ全体の見えないフレーム内に、別の場所に設置した三菱UFJニコス(MUFG)の会員サービスの登録ページそっくりの本体を表示するようになっていた。公式サイトと同じように、同社が扱う複数のブランドの中からカードを選択するようになっており、それぞれの偽登録ページで、クレジットカード情報や個人情報などの登録情報一式を入力させようとする。

■三井住友カード

 先の三菱UFJニコスと同じ「【重要】三井住友カード株式会社から緊急のご連絡」という件名で、差出人や誘導先を偽装していないメールもばらまかれた。「security-smbccard」という紛らわしい名前の誘導先には、三井住友カードの偽のVpass登録ページが仕掛けられており、クレジットカード情報や個人情報などの登録情報一式を入力させようとする。この偽サイトは、話題になった全国銀行協会の偽サイトと同じサーバーに仕掛けられていたものと同じで、入力情報の送信先も同じだった。

 これらは、宅配便の不在通知を装うSMSなどで誘導し、怪しいAndroidアプリをインストールさせる攻撃を仕掛けていたグループが仕掛けている可能性が高い、昨日19日に楽天カードを装う「【楽●天】緊急!パスワード初期化のご連絡」という件名のフィッシングメールがばらまかれているが、その誘導先の楽天e-Naviを装うフィッシングサイトも、入力情報を同じサイトに送っており、同一犯とみられる。

◇その他のフィッシング――NTTドコモ、ソフトバンク、Netflix

■NTTドコモ

 差出人を「株式会社NTTドコモ」に偽装し、先の三菱UFJニコスや三井住友カードのフィッシングメールを少し書き換えた「【重要】株式会社NTTドコモから緊急のご連絡」という件名のメールがばらまかれた。リンクは、偽三井住友カードのドコモ版「security-docomo」という紛らわしい名前のURLが偽装なしで記載されており、同社の会員サービス「dアカウント」のログインページそっくりに作られた偽サイトを開く。

 dアカウントは、その都度生成する暗証番号を入力させ、パスワードだけでは不正ログインが行えないよう保護する2段階認証を提供しているが、この偽サイトは裏で公式サイトを操作する中間者攻撃を仕掛けているらしく、パスワード認証に続き、2段階認証も求めてきた。中間者攻撃が行われると、2段階認証も突破されてしまう。

 ネット上では、フィッシングメールがばらまかれた直後から、覚えのない「ケータイ払い」の報告が相次いでおり、直前に偽サイトにログインしたとの書き込みもある。「ケータイ払い」は、ドコモが提供している月々の電話料金と一緒に支払いができる、いわゆるキャリア決済のこと。利用にはdアカウントが必須なので、フィッシングの影響なのかもしれない。このフィッシングについては、メールがばらまかれた直後に公式サイトから注意喚起が出ている。

・NTTドコモのdアカウントログイン画面を模倣したウェブサイトにご注意ください(NTTドコモ)
https://id.smt.docomo.ne.jp/src/utility/notice_trouble20180205.html

■ソフトバンク

 オンラインゲームのキャンペーンを装い、ソフトバンクの会員サービス「My SoftBank」のアカウントを騙し取ろうとするフィッシングが、約1年間、断続的に行われている。2月は、昨年からのソーシャルゲーム「グランブルーファンタジー」の偽キャンペーンメールに加え、新たに「モンスターストライク」の偽キャンペーンメールもばらまかれ、協議会からは初めて緊急告知が出た。ちなみに先のNTTドコモなどのフィッシングを仕掛けているグループも「My SoftBank」を手掛けているが、それとは別のグループが仕掛けている攻撃だ。

 メールの件名や文面は、その都度変わるが、10000の円クーポンをプレゼントするという趣旨は変わらず、誘導先の偽サイトも画像を差し替えるだけで同じものを使い続けている。リンクには、短縮URLが用いられることが多く、今年に入ってからは、Googleの短縮URLからGoogle翻訳に誘導先のURLを投げ、韓国語から日本語に翻訳させる手法が頻繁に用いられた。偽サイトはもともと日本語なので無意味に思えるが、アドレスバーをHTTPS接続のGoogleのものにし、韓国人の攻撃を装うという意図があるのかもしれない。

 2月に観測されたキャンペーンを装うフィッシングメールは、モンスターストライクが4回、グランブルーファンタジーが3回だったが、3月は今のところ観測されていない。

■Netflix

 映画やドラマのオンライン視聴サービス「Netflix」を装い、クレジットカード情報を騙し取ろうとするフィッシングが、2月20日から26日にかけて少なくとも3回行われた。26日の誘導先は、3月20日現在も稼働中だ。

 フィッシングメールの差出人は、表示名を「Netflix」に偽装しているが、メールアドレスは無関係なものが記載されている。いずれもNetflixの「前回の支払いに問題があるためアカウントが保留になっています」というエラーメッセージをメールの件名にしており、同社のヘルプページにあるその解説文を本文に記載し、問題を解決するために「お支払方法を更新」をクリックさせようとする。

 リンクには、中国ドメイン(.cn)の無関係なサイトのURLが埋め込まれており、そこを経由してNetflixのロゴをあしらったクレジットカード情報の入力ページを開く。HTTPS接続で錠前マークが表示され、「netflix-account-auth」というそれらしい名前が織り込まれてはいるものの、ドメインはNetflixとは無関係なものが使われている。

 このフィッシングサイトは、アクセス元のIPアドレスから国を識別しており、日本からのアクセスには偽サイトを表示するが、日本以外からアクセスするとYouTubeに飛ばすようになっていた。

(2018/03/20 ネットセキュリティニュース)

【関連URL:フィッシング対策協議会】
・2018/02 フィッシング報告状況
http://www.antiphishing.jp/report/monthly/201802.html
・My Softbank ID の詐取を目的としたフィッシング (2018/02/27)
https://www.antiphishing.jp/news/alert/softbank_20180227.html
・Netflix をかたるフィッシング (2018/02/23)
https://www.antiphishing.jp/news/alert/netflix_20180223.html
・LINE をかたるフィッシング (2018/02/20)
https://www.antiphishing.jp/news/alert/line_20180220.html
・[更新] Apple をかたるフィッシング (2018/02/19)
https://www.antiphishing.jp/news/alert/apple_20180219.html
・全国銀行協会をかたるフィッシング (2018/02/07)
https://www.antiphishing.jp/news/alert/zenginkyo_20180207.html
・三菱 UFJ ニコスをかたるフィッシング (2018/02/05)
https://www.antiphishing.jp/news/alert/mufgnicoscard_20180205.html
・セゾン Net アンサーをかたるフィッシング (2018/02/01)
https://www.antiphishing.jp/news/alert/saison_20180201.html

投稿情報: 11:20 |

|