実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、9月も毎日続いた。アップル、アマゾン、LINE狙う攻撃が連日続き、宅配便や通信事業者、クレジットカード会社のフィッシングも相変わらず続いている。
フィッシング対策協議会の2018年9月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より630件減少し1244件となった。ユニークなURL件数は、前月より108件減少の846件、悪用されたブランド件数 (海外含む) は、3件増加し35件となった。同協議会が出した緊急情報はJCBの1回だけだったが、このほかにクレジットカード会社は、楽天カード、クレディセゾン、三菱UFJニコスも確認されている。
■キャリア決済を狙うフィッシング続く
通信事業者が提供するキャリア決済を狙うフィッシングが、相変わらず続いている。手口は、各社のサービスに侵入して使い込むやり方と、攻撃者が用意したApple IDの支払い方法にユーザーのキャリア決済を登録させるやり方の2通りとみられる。前者はアカウント情報と、必要に応じて二段階認証やキャリア決済用の本人確認情報を騙し取ろうとする。後者は、電話番号とSMSで届くコード(4桁の数字)を入力させる。
成りすますのは、キャリア決済を提供しているソフトバンク、NTTドコモ、KDDI(au)の3社で、前月まで多かったソフトバンクが減り、9月はNTTドコモが増加した。サービスに侵入する手口は、オンラインゲームのハンゲームでコインの購入に使われることが多く、同サイトでは決済の利用停止/再開を繰り返していた。ソフトバンクの決済は7月10日から利用を停止しており、6月8日から停止していたNTTドコモの決済は8月30日に再開した。この辺が、前述の「成りすましの増減」の一因になっているのかもしれない。ちなみにKDDIは、8月16日から決済時に携帯電話回線でアクセスすることが必須となった。
佐川急便を装うSMSで偽サイトに誘導し、Android端末に偽アプリをインストールさせようとしていた攻撃が、8月からiPhone端末をフィッシングサイトへと誘導するようになった。このiPhone用のフィッシングもまたキャリア決済を狙ったもので、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と言って、携帯番号とSMSで届くコードを入力させようとする。SMSが観測された日数は、8月の22日から9月は14日と減少したが、10月に入ってからは毎日観測されているので注意したい。
■LINEを乗っ取るフィッシングは高止まり
攻撃者が増えて7月から増加中のLINEを装うフィッシングは、9月も1日平均1種類以上のメールがばらまかれた。これは、8月から激減しているアップルと急増中のアマゾンの約半分だ。メールの文面は、過去の使い回しではあるが引き続き複数のバリエーションが確認されており、誘導先のドメインも「.top」「.cn」「.com」「.jp」と多彩だ。
間もなく丸2年を迎える長期継続型のフィッシングだが、ネット上では今も、騙されてLINEを乗っ取られてしまった人や、知り合いから「近くのコンビニでWebmoneyのポイントカード買ってくれる?」というメッセージが届いたという人の投稿が相次いでいる。
■SMSを悪用するフィッシング
携帯電話番号あてに短いメッセージを送るSMS(Short Message Service)は、2011年から通信事業者間での送受信が行えるようになり、手軽に大量配信が行えるリーズナブルなサービスの登場とともに、国内でもさまざまなサービスの通知機能として利用されるようになった。料金はかかるが、電話番号だけでメッセージを送ることができるSMSは、詐欺などを企てて不特定多数にアプローチしたい者たちにも都合がよく、架空請求などでは重要なインフラのひとつとなっている。
フィッシングに悪用されることも多く、前回記事で詳しく紹介した「偽佐川急便」の場合は全てSMSで送られている。ちなみに、この佐川急便を装うSMSの大半は、偽アプリをインストールしてしまったユーザーのAndroid端末が送信に使われている。
9月にフィッシングに使われたSMSの文面には、以下のようなものがある。SMSに記載されたリンク先は、メールのように偽装することはできないので、公式サイトと違うURLが記載されていたら警戒していただきたい。
・偽アップルのSMS
あなたのアカウントは一時停止されました。アクセスの復元:(URL)
・偽アマゾンのSMS
Amazonよりお客様情報の更新に関する重要なお知らせです。詳細はコチラ(URL)
・偽NTTドコモのSMS
お客様のdアカウントに不正ログインの可能性があります。ウェブページで検証お願いします。(URL)
・偽佐川急便のSMS
お客様宛にお荷物のお届けに上がりましたが不在の為持ち帰りました。下記よりご確認ください。(URL)
■メールアカウントを狙うフィッシング
毎日繰り返されているフィッシングの大半は、金銭を得やすいクレジットカード情報などの詐取が目的だが、学校やプロバイダなどのメールアカウントを狙ったフィッシングも断続的に行われている。いかにもという怪しい文面のメールが多いが、自身の学校やプロバイダから自身のメールアドレス宛てに届くので、油断していると騙されてしまうかもしれない。
9月は、電気通信大や千葉大が、フィッシングメールの注意を呼びかけたほか、ソネットからも注意喚起が出ている。9月にばらまかれたソネットを装うフィッシングメールは、「保留中の通知があります」という件名と、「【重要:So-net】お申し込み内容のご案内」という件名の2種類。後者は、リニューアル予定のSo-netメールに優先移行の申込受付を開始したので、希望者は申し込みをするようにと誘導する内容だ。その誘導先を確認したところ、「So-net Webメール」の偽のログインページにログインさせようとするものだった。
<偽装リンクを見破る方法>
ばらまかれたフィッシングメールに記載されたURLは、一見公式サイトのURLに見える偽装リンクで、実際のリンク先は異なる。パソコンの場合はマウスポインタをリンクに重ねるマウスオーバーで、スマートフォンの場合はリンクの長押しなどで、たいてい真のリンク先が確認できる。
So-netの公式サイトのリンク先は、「https://www.so-net.ne.jp/」や「https://webmail.so-net.ne.jp/」であるのに対し、偽サイトは「https://login-so-net-ne-jp.」という紛らわしい文字列で始まるものの、その後に続くドメインの部分が「●●●.com」という無関係なものになっていた。公式サイトのドメイン「so-net.ne.jp」ではないので、リンクを開く前に偽物と気付けるだろう。
うっかり開いてしまった場合には、ログイン前に必ずブラウザのアドレスバーを確認していただきたい。公式サイトは、EV証明書という特別なサーバー証明書を持っているので、ディスクトップ版の主要なブラウザ、およびiPhoneなどのIOS版Safariは、「Sony Network Communications Inc.」という運営者名が表示される。ログインする際には、この表示があるか、もしくは、錠前マーク付きの「so-net.ne.jp」ドメインであることを確認するよう心掛けていただきたい。
(2018/10/31 ネットセキュリティニュース)
【関連URL】
・2018/09 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201809.html
・MyJCB をかたるフィッシング (2018/09/19)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/myjcb_20180919.html
・電気通信大学(2018/09/03)
https://www.cc.uec.ac.jp/blogs/news/2018/09/20180903phisingemailadmin.html
・千葉大学(20018/09/10)
https://twitter.com/CCsirt/status/1039078018872893442
・【重要】So-netを装った不審な迷惑メールにご注意ください(ソネット)
http://www.so-net.ne.jp/info/m/2014/op20140715_0062.html