フィッシングとは、実在する企業やサービスなどを装うメールやSMSなどをユーザーに送りつけ、偽のWebサイトに誘導してログイン情報やクレジットカード情報などを騙し取る行為のことです。国内ユーザーを狙う攻撃が観測されるようになってから10年以上が経ちますが、攻撃は年々激化しています。11月は、アップル、アマゾン、LINE、佐川急便を装うメールやSMSが連日ばらまかれ、携帯電話の事業者を装うフィッシングも頻繁に行われました。
最新フィッシング事情
フィッシング対策協議会がまとめた2018年11月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より552件増加し1652件となりました。ユニークなURL件数は前月より211件増加し1096件、悪用されたブランド件数 (海外含む) は5件減少し36件となりました。同協議会からは、アマゾン、アップル、ペイパル、VISA/MasterCard認証センターの計4回の緊急情報が出ました。
総評では、佐川急便の不在通知を装うSMSやキャリア決済の不正利用を目的としたフィッシングメール、アップル、アマゾン、LINE、ペイパルのフィッシングの報告が多くあったとしています。総評には、アップルのメールが一度に多くの受信者へ大量配信され注意が必要とありますが、おそらくボットネットを使ったフィッシングメールの配信再開のことを指していると思われます。配信状況は、日本サイバー犯罪対策センター(JC3)のWebサイトで逐次公開されており、協議会からは、11月13日付けで緊急情報が出ています。
・2018/11 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201811.html
・ボットネットが大規模にばらまく悪質な迷惑メールに注意(セキュリティ通信)
(2018/11/30)
クレジットカード情報を狙うフィッシング
国内のユーザーを標的としたフィッシングのほとんどは、最終的には金銭を得ることを目的としています。2013年頃から急増したオンラインバンキングのアカウントを狙ったフィッシングは、2016年上半期でほぼ収束し、その代わりに主流となったのが、クレジットカード情報を騙し取るフィッシングです。断続的に行われているクレジットカード会社を装うフィッシングはもちろん、多発しているアップルやアマゾンを装うフィッシングもまた、クレジットカード情報を騙し取ろうとします。
カード会社
11月は、楽天カードと三菱UFJニコス(MUFGカード)、クレディセゾンのフィッシングが観測されました。
楽天カードを装うフィッシングメールは、「【楽●天】緊急!パスワード初期化のご連絡」という件名のメールをばらまかれました。第三者に不正ログインされた可能性があるのでパスワードをリセットしたから再設定するよう求める内容で、偽サイトへと誘導します。本物そっくりのログインページにログインさせ、クレジットカード情報を入力させるよくある手口です。この攻撃者は、ほかにも色々と手掛けおり、ヤフーや携帯電話の事業者を装うフィッシングでも、パスワードのリセットを理由に誘導する、よく似た件名と同じような文面のメールを使用しています。
11月に観測されたMUFGカードのフィッシングは、三菱UFJ銀行を装う「通知」という件名と、三菱UFJニコスを装う「三菱UFJニコス-通知」という件名のメールが数回ばらまかれました。「アカウントの有効期限が切れました。MUFGカードWEBサービスにログインしてください」という内容と「持続する」と書かれたボタンだけのシンプルなメールで、偽サイトへと誘導します。こちらも、偽の会員サイトにログインさせ、クレカ情報を騙し取ろうとします。
クレディセゾンのNetアンサーを装うフィッシングメールは、「あなたのカードを再アクティブ化」という件名でばらまかれました。予期しない活動が検出されたのでセキュリティを無効にしたから、アクセスを可能にするためにロックを解除するよう求め、偽サイトへと誘導します。こちらも、偽の会員サイトにログインさせ、クレカ情報を騙し取ろうとします。
最新フィッシング事情
協議会は11月9日付けで「3D セキュア (本人認証サービス) の認証情報を詐取することを目的としたフィッシング」という緊急情報を出しました。これは、VISA/MasterCard認証サービスを装い、カード確認に関する問題が検出されたためカードをロックしたので確認するよう求め偽サイトへと誘導するフィッシングメールで、「Your credit card has been suspended」や「Your (Credit Card) has been suspended」という件名でばらまかれました。この本人認証サービスは、オンラインサービスの決済時に、カードの持ち主であることを確認する、カード会社が提供するセキュリティサービスです。対応サイトで決済情報を入力すると、各カード会社のサイトに移動してパスワード認証を行います。したがって、カード情報と本人認証のパスワードを一緒に入力することはないのが原則なのですが、徹底されてはいません。一部のサイトでは、決済時にカード情報を一緒にパスワードを入力させるところがありますが、本人認証サービス側でカード情報を一緒に入力することはありません。
・3D セキュア (本人認証サービス) の認証情報を詐取することを目的としたフィッシング (2018/11/09)
https://www.antiphishing.jp/news/alert/3dsecure_20181109.html
アップルとアマゾン
アップルとアマゾンのフィッシングは、複数のグループが連日仕掛けています。メールの種類も量も多いので紹介しきれませんが、大きく分けると2つの手口があります。
ひとつは、不正ログインや登録情報の変更・不備などの、アカウントに関する問題を理由に偽サイトへと誘導する手口です。早く確認しないと閉鎖するなどと言って、慌てさせるものも多数あります。もうひとつは、身に覚えのない購入通知を装う手口で、驚いてキャンセルしようとする心理を突いて偽サイトへと誘導します。誘導後は、ほとんどが偽サイトにログインさせ、クレジットカード情報などを騙し取ろうとしますが、偽アマゾンの中に、いきなりカード情報の入力を求めるものがありました。
協議会が11月13日付けで出したアップルのフィッシング情報は、いきなりカード情報を入力するように見えますが、実際は、この前にログインページがあります。ログインページのない偽アップルは、ありませんでした。
・Amazon をかたるフィッシング (2018/11/30)
https://www.antiphishing.jp/news/alert/amazon_20181130.html
・Apple をかたるフィッシング (2018/11/13)
https://www.antiphishing.jp/news/alert/apple_20181113.html
ペイパル
ペイパルのフィッシングは、海外で盛んに行われていますが、よくできた日本語メールはあまり見かけません。来るのは、出来の悪い日本語メールや英文のメールばかりで、誘導先が日本語化されていないこともあります。協議会が11月12日付で出した緊急情報もこのタイプらしく、誘導先は英語版に見えます。この偽サイトの場合は、機械的なアクセス防止用に設けたCAPTCHA(キャプチャ)ページだけが多国語対応ですが、PayPalのフィッシングサイトの中には、本体が日本語を含む多国語対応のものあります。
・PayPal をかたるフィッシング (2018/11/12)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/paypal_20181112.html
キャリア決済を狙うフィッシング
今年を代表する最も特徴的な攻撃が、キャリア決済を狙うフィッシングです。キャリア決済は、携帯電話の通信事業者が提供する決済サービスで、利用分は月々の料金と一緒に引き落とされる仕組みです。ソフトバンクでは「まとめて支払い」、KDDIでは「auかんたん決済」、NTTドコモでは「d払い」「ドコモ払い(旧ケータイ払い)」「spモード決済」などと呼んでいます。これらは、対応サイトでクレジットカードと同じように利用することができ、それに目を付けた攻撃者が、今年2月頃から決済を提供する通信事業者側と、決済方法に利用できるサービス側の両方の手口でフィッシングを仕掛けるようになりました。
提供する側を狙う手口では、各社の会員サイトの偽のログインページにログインさせてアカウント情報を盗み、ユーザーになりすまして公式サービスを勝手に使います。ID/パスワードだけではログインできない2段階認証を設定したユーザーに対しては、裏で公式サイトに中継することで2段階認証を破ってしまう仕組みを用意し、各種設定変更に必要な契約時に設定した暗唱番号まで騙し取ろうとする、悪質極まりないフィッシングが現在も続いています。11月は、NTTドコモが集中砲火を浴びました。同社の「d払い」は、街のコンビニなどの実店舗でも支払いに利用でき、電話番号あてに送金できる「ドコモ口座」というサービスもあり、こうした多様性が狙われる一因になっているのかも知れません。
決済方法に利用しているサービス側を狙う手口では、アカウントにキャリア決済を登録することで、iTunesやApp Storeの支払いに利用できるようになる、アップルのサービスが狙われました。キャリア決済の登録に必要な電話番号と、その電話番号あてにSMSで送られてくるコードを騙し取ると、ユーザーのキャリア決済が第三者のApple IDの支払い方法に登録され、勝手に使われてしまうのです。この手口は、通信事業者各社を装うフィッシングで使われたほか、佐川急便の不在通知を装うSMS誘導先に、iPhoneなどのiOS端末(以後iPhone)でアクセスした場合にも使われています。
この佐川急便を装うSMSは、当初はAndroid端末に偽アプリをインストールさせることが目的の攻撃でしたが、今年8月からiPhoneをフィッシングサイトへと誘導するようになりました。iPhoneでアクセスした場合には、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と言って、携帯番号とSMSで届くコードの入力を求める「携帯番号認証」と書かれた入力ページか、Apple IDとパスワードの入力を求める「Apple認証」と書かれた入力ページが出現します。
LINEを乗っ取り、"友だち"から
プリペイドカード騙し取るフィッシング
丸2年間続いているLINEを装うフィッシングは、「LINE緊急問題」「LINE安全認証」「ログイン保護を設置」「重要:必ずお読みください」「緊急二段階パスワードの設置」などの色々な件名のメールが、毎日のようにばらまかれています。異常ログインされたので検証するよう求める内容や、アカウントを保護するために二段階バスワードやログイン保護の設定を求める内容で、偽サイトへと誘導します。
一般の方が利用しているLINEでは、機種変更などのアカウントにログインする場合にメールアドレスを登録しますが必須ではありません。登録した場合も、登録時に確認用のメールが届く以外に、LINEからメールが来ることはありません。LINEからの本物の通知は、LINEの公式アカウントからLINEのメッセージで届きます。
このLINEのフィッシングは、11月は2種類の攻撃が、観測されました。両者の見た目はほとんど変わりませんが、片方は、開設に海外のサーバーを使用した「.com」や「.cn」ドメインの偽サイトであるのに対し、もう一方は、国内のレンタルサーバーを使用した「.jp」ドメインの偽サイトです。
どちらも手口は同じで、LINEの偽ログインページにログインさせ、電話番号とSMSで届く認証暗号を入力させようとします。これは、機種変更時にLINEをアカウントごと他の端末に移す手順そのものです。指示に従って操作すると、LINEのアカウントが乗っ取られ、自身の端末からは利用できなくなってしまいます。
LINEを乗っ取った攻撃者は、登録されている「友だち」にあなたになりすまして、「近くのコンビニでWebmoneyのポイントカード買ってくれる?」というようなメッセージを送ります。Webmoneyは電子マネーのひとつで、相手は購入したカードの番号を写真に撮って送るよう求めます。指示に従うと、カードの額面の金額が相手の手に渡ってしまいます。LINEを装うフィッシングは、自身のLINEが乗っ取られて利用できなくなるだけでなく、友だちにまで迷惑が及ぶことになります。
TEXT:現代フォーラム/鈴木