実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、6月も休みなく毎日続いた。アップル、アマゾン、LINEのユーザーを狙う攻撃が相変わらず高頻度で繰り返される中、通信事業者やクレジットカード会社、仮想通貨関連のフィッシングも多発した。
フィッシング対策協議会の2018年6月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は2009件と、前月から692件減少するも、ユニークなURL件数は、前月から312件増え836件となった。悪用されたブランド件数 (海外含む) は、前月と同じ34件。同協議会が出した緊急情報は、常連組のアップル、アマゾン、LINEと、クレジットカード会社のクレディセゾンと三菱UFJニコスの計5回だった。編集部の観測では、ニコス1回、セゾン5回の攻撃のほか、楽天カードのメールのばらまきを6回観測している。ほかにも、通信事業者のソフトバンクとNTTドコモ、仮想通貨のMyEtherWallet(マイイーサウォレット)も頻繁にメールがばらまかれた。
■アップル、アマゾン、LINE
昨年からメールのばらまきが高頻度で続いているのが、アップル、アマゾン、LINEの3ブランドだ。アップルを装うフィッシングは、攻撃を仕掛けるフィッシングアクターが多く、毎日数種類のメールが飛び交っている。5月には、日々のユニークなメール数が半年ぶりに3種類を超え約3.8に。6月も約3.5を記録しており、7月もこれを上回る勢いだ。
偽アマゾンも複数のアクターが入れ代わり立ち代わりメールをばらまいている。ただし頻度は低く、1通も来ない日が度々あるため、1日あたりのユニークメール数は1を割る。偽アップルと偽アマゾンのフィッシングには、SMSが使われることもあり、「あなたのAppleアカウントで異常な動作が確認されました。あなた情報を確認してください」や「Amazonより重要なお知らせです。詳細はurlよりご確認ください」というSMSが6月に確認されている。
LINEを装うフィッシングは、同じグループが繰り返し仕掛けており、まれに別の種類のメールが舞い込む程度だった。この珍しい別件が6月25日にばらまかれた。これまでに使われたLINEのフィッシングメールを真似た件名と内容で、インストール直後のLINEの初期画面を模した偽サイトへと誘導する。これもまたログインさせ、電話番号とSMSなどで届く4桁の認証番号を入力させてLINEを乗っ取る手口だ。7月に入ってからも、このグループが幾度かメールをばらまいており、今後も警戒が必要だ。
■クレジットカード会社を装うフィッシング
クレジットカード会社を装うフィッシングは、クレディセゾン、三菱UFJニコス、楽天カードの3ブランドを確認した。
<クレディセゾン>
クレディセゾンをかたるフィッシングは、件名に「重要:必ずお読みください」が入ったメールを使用するグループと、「あなたのカードを再アクティブ化」とう件名のメールを使うグループの攻撃が観測された。どちらも以前から観測されているもので、三菱UFJニコスやセディナなども手掛ける前者は、「第三者によるアクセスを確認したのでIDを変更したから再変更するよう」に促すワンパターンのメールが度々ばらまかれている。誘導先は、各社の会員サイトの新規登録ページをコピーした偽サイトで、クレジットカード情報や個人情報を入力させようとする。
後者は、これまであまり頻度は高くなかったが、6月に入って突然数回繰り返された。かなり不自然な日本語で、「カードをブロックしたので再アクティブ化するよう」求める。「カードが虐待された可能性があるかもしれない」という文面が印象的だ。こちらは、同社の会員サイトNetアンサーの偽ログインページにログインさせ、再登録フォームと称してクレジットカード情報などを入力させる。7月以降も断続的に続いているので、警戒が必要だ。
<三菱UFJニコス>
三菱UFJニコスを装うフィッシングは、先の「重要:必ずお読みください」という件名のメールを使うグループが度々仕掛けているが、6月に観測されたのはそれとは別物。5月からアマゾンの「顧客満足度調査」を装うフィッシングを仕掛けているグループが仕掛けたもので、「三菱UFJダイレクト」という件名でばらまかれたメールには、「アカウントの有効期限が切れました」「MUFGカードWEBサービスにログインしてください」とだけ書かれていた。誘導先は、公式サイトのカードブランドを選択するページのコピーになっており、どれを選んでも同じログイン画面に進み(JCBカードはなぜか公式サイトへ移動)、ログインさせてクレジットカード情報を騙し取ろうとする。
<楽天カード>
楽天カードを装うフィッシングは、3月以降毎月頻繁に繰り返されている。カード会社を装うフィッシングとしては今年上半期で最多のブランドだが、フィッシング対策協議会は緊急告知を出さず、ニュースサイトでもマルウェアメールしか話題にならない異常事態となっている。
メールは、「【楽●天】緊急!パスワード初期化のご連絡」や「【重要】楽天株式会社から緊急のご連絡」という件名で届き、「不正ログインされたのでパスワードをリセットしたから再設定の手続きを行うよう」求め、楽天e-NAVIの偽サイトへと誘導する。誤ってログインすると、「サービスセキュリティ強化手続き」と称してクレカ情報と生年月日、自宅の電話番号を入力させ騙し取る。
このフィッシングを仕掛けているのは、後述するキャリア決済狙いのフィッシングや、佐川急便の不在通知を装うSMSでマルウェアに感染させる攻撃なども手掛けているグループで、現在も頻繁にこれらの攻撃が続いている。
■キャリア決済を狙うフィッシング
前月に引き続き、通信事業者を装うフィッシングが多発した。前月のソフトバンクとNTTドコモに加え、6月はKDDI(au)のユーザーを標的にした攻撃も観測された。フィッシングメールは、それぞれのキャリアメールあてに、次のような件名で届く(●●は各社の社名)。
【重要な知らせ!】●●より
【●●より重要な知らせ!】
<●●より重要なお知らせ>
【重要】●●から緊急のご連絡
メールの内容で多かったのは、「キャリア決済がApple IDに不正利用されたので、解除手続きを行うよう」求めるパターンで、各社の偽ログインペーへと誘導する。そこで、携帯電話番号とその番号あてのSMSで届く数字を入力してしまうと、攻撃者が用意したApple IDのApp Store/iTunesの支払い方法に、入力したユーザーのキャリア決済が勝手に登録され、限度額まで使い込まれてしまう。ネット上には、アップルやハンゲームで使い込まれた被害者の投稿が相次いでおり、7月以降も続いている。
(2018/08/01 ネットセキュリティニュース)
【関連URL】
・2018/06 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201806.html
・Amazon をかたるフィッシング (2018/06/29)
https://www.antiphishing.jp/news/alert/amazon_20180629.html
・MUFG カードをかたるフィッシング (2018/06/21)
https://www.antiphishing.jp/news/alert/mufgcard_20180621.html
・[更新] LINE をかたるフィッシング (2018/06/06)
https://www.antiphishing.jp/news/alert/line_20180606.html
・Apple および Amazon をかたるフィッシング (2018/06/04)
https://www.antiphishing.jp/news/alert/apple_amazon_20180604.html
・セゾン Net アンサーをかたるフィッシング (2018/06/04)
https://www.antiphishing.jp/news/alert/saisoncard_20180604.html
・フィッシングの被害からお客様を守るために(楽天カード)
https://www.rakuten-card.co.jp/security/security-info/
【関連記事:ネットセキュリティニュース】
・2018年5月の国内フィッシング事情(2018/06/22)
・狙われる「キャリア決済」、通信事業者を装うフィッシングに注意(2018/04/19)