実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、10月も毎日続いた。アップル、アマゾン、LINE、佐川急便を装うメールやSMSが連日ばらまかれ、通信事業者を装うフィッシングも続いている。
フィッシング対策協議会の2018年10月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より144件減少し1100件となった。ユニークなURL件数は前月より39件増加し885件、悪用されたブランド件数 (海外含む) は3件減少し31件となった。同協議会が出した緊急情報は、複数の攻撃者が入り乱れ激化が続くアマゾンと、三菱UFJニコスの計2回だった。
■佐川急便を装うSMSのばらまき再急増
昨年12月に始まった佐川急便の不在通知を装うSMSのばらまきは、今年7月から8月にかけて急増した。その後、やや落ち着きを見せていたが、10月に入り再び急増して注目を集め、テレビや新聞でもとりあげられた。
・SMSでフィッシング仕掛け、偽サイトへ誘導
佐川急便を装うSMSは、当初はAndroid端末に偽アプリ(マルウェア)をインストールさせようとする攻撃だったが、8月からはiPhoneに対してフィッシングを仕掛けるようになった。手口は、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。http://sagawa-●●.com」(●●は2~4文字の英字)という、SMSを不特定多数に送るやり方で、佐川急便の偽サイトへと誘導する。
・Androidは「偽アプリ」投下、iPhoneは「キャリア決済」使い込み
このサイトは、Android端末でアクセスすると偽アプリを投下するようになっており、指示どおりにインストールしてしまうと感染する。7月以降は、この感染端末を操ってSMSのばらまきを行っている。
誘導先の偽サイトにiPhoneでアクセスした場合には、別の場所に設置したフィッシング用の偽サイトへと転送される。こちらには、「携帯電話の認証」というページが用意されており、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と言って、携帯番号を入力させようとする。指示に従うと、NTTドコモ、KDDI(au)、ソフトバンクのユーザーの端末にSMSでアップル(App Store/iTunes)から認証コード(4桁の数字)が届き、偽サイトはこの認証コードの入力を求めて来る。
一連の操作は、Apple IDの支払い方法にキャリア決済を登録する手順で、指示に従うと攻撃者に自分のキャリア決済の使用を許可してしまうことになる。キャリア決済の利用限度額は、設定やユーザーの利用状況にもよるが、最大月10万円まで使い込まれるおそれがある。
・頻繁なURL変更で「セキュリティ警告逃れ」
キャリア決済を狙った「携帯電話の認証」というページは、10月下旬から「Appleの認証」というページに挿し変わり、Apple IDとパスワードの入力を求めるフィッシングになった。11月に入ってからは、一時ソフトバンクのフィッシングサイトに転送されることもあったが、11月26日現在は、「携帯電話の認証」と「Appleの認証」の2本立てとなっている。毎日幾度も新規URLへ変わるため、タイミングによってはブラウザやセキュリティソフトが警告しないことも多い。佐川急便の公式サイトのドメインは、「sagawa-exp.co.jp」であることと、同社はSMSを使用していないことを覚えておくと騙されない。
■通信事業者装うフィッシング(キャリア決済不正利用)続く
キャリア決済の不正利用を目的としたフィッシングは、今年に入ってから通信事業者を装うフィッシングとして頻発するようになった。使い込みの手口は、先の佐川急便の事例にもあるApple IDの支払い方法に登録するタイプと、各社の会員サイトに直接侵入する手口の2通りだ。会員サイトへの侵入では、偽サイトの裏で本物を操作する中継方式で、SMSやアプリを使った2段階認証も破ろうとする。
・認証の突破は「公式サイトURL」確認で防ごう
2段階認証を利用すると、ID/パスワードだけではログインできなくなるので、流出アカウントによる不正ログインを完全に遮断してくれる。ところが、騙されたユーザーが公式サイトのつもりで操作したり、2段階認証の認証コードを渡したりしてしまうと、現在主流の2段階認証のほとんどは簡単に突破されてしまうので注意したい。ブラウザでログインしたり、クレジットカード情報などを入力したりする際には、必ずアドレスバーがhttpsで始まる公式サイトのURLであることを確認していただきたい。
・標的はキャリア3社から2社に減、誘導メールとSMSに注意
通信事業者を装うフィッシングの標的は、キャリア決済を提供しているNTTドコモ、KDDI(au)、ソフトバンク(Y!mobileを含む)の3社だが、10月は減少傾向にあったソフトバンクがゼロになり、NTTドコモとKDDIだけとなった。誘導方法は、不正ログインの可能性があるのでパスワードをリセットしてから再設定の手続きを行うよう求めるメールと、不正ログインや異常ログインの可能性があるのでウェブページで検証するよう求めるSMSなので、くれぐれも騙されないよう注意したい。
■検索サイトから誘導するオンラインゲームのフィッシング
フィッシングの誘導方法のひとつに、検索サイトの検索結果に表示される広告枠を悪用する手口がある。検索結果の上位には、検索語に連動した広告が表示されることがある。ここに、フィッシングサイトへとリンクする悪質な広告を紛れ込ますのだ。
・セガの偽管理ページ、NEXONの偽ログインページへ誘導
10月には、この手法を使い、セガの偽の「SEGA ID管理ページ」や、NEXONの「メイプルストーリー」の偽のログインページに誘導するフィッシングが見つかった。ゲームの公式サイトに行こうと検索サイトで探すと、「公式サイト」と書かれた偽物の広告が先頭に表示される。うっかりそれをクリックしてしまうと、本物そっくりの偽サイトに連れて行かれてしまい、気付かずにログインすると、ID/パスワードを騙し取られてしまう。
・登録ブックマークからアクセスを
検索サイトの検索結果の上部には、広告が表示されることがあるということを気に留めておきたい。会員サイトに登録した際には、その場でトップページやログインページをブラウザのブックマーク(お気に入り)に登録しておくことをお勧めする。登録したブックマークからアクセスすれば間違いがない。
(2018/11/27 ネットセキュリティニュース)
【関連URL】
<フィッシング対策協議会>
・2018/10 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201810.html
・[更新] MUFG カードをかたるフィッシング (2018/10/24)
https://www.antiphishing.jp/news/alert/mufgcard_20181024.html
・Amazon をかたるフィッシング (2018/10/19)
https://www.antiphishing.jp/news/alert/amazon_20181019.html
<各社の注意喚起>
・佐川急便を装った迷惑メールにご注意ください(佐川急便)
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
・【重要】SEGA ID管理ページや『PSO2』公式サイトを模倣したサイトにご注意ください(セガ)
http://pso2.jp/players/news/22407/
・ドコモを装ったメール、ウェブサイトにご注意ください(2018年10月15日更新)(NTTドコモ)
https://www.nttdocomo.co.jp/info/notice/page/180206_01_m.html
・企業を装って発信される不審なメールにご注意ください(KDDI)
http://news.kddi.com/important/news/important_20180831622.html
・ソフトバンクを装うフィッシング目的の不審な電子メールに関するご注意(ソフトバンク)
https://www.softbank.jp/mobile/info/personal/news/support/20181116a/