So-net無料ブログ作成

4月と最近の国内フィッシング事情 [フィッシング]

4月のフィッシング発生状況と、ここ最近の銀行口座、クレジットカード情報、ゲームアカウントを狙うフィッシングの状況についてまとめた。実在企業やサービスを装ったメールまたはSMSで偽サイトに誘導し、大切な情報をだまし取ろうとするフィッシングが繰り返し行われているので、注意していただきたい。

■4月のフィッシング発生状況――1日1回強の攻撃続く

 フィッシング対策協議会の4月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は878件(前月比1043件減)、ユニークなURL件数は288件(前月比142減)、悪用されたブランド件数 (海外含む) は25件(前月比3件減)だったという。
 いずれの数値も減少しており、その減少の理由として同協議会は、1月から3月までの金融機関をかたるフィッシングの平均報告件数が2000件を超えていたのに対し、4月は656件と大きく減少したことをあげている。また、金融機関をかたるフィッシングの報告が大きく減少したのに対し、オンラインゲームをかたるフィッシングサイトが報告全体の約30%と、前月の17%に比べると増加していると、オンラインゲームをかたるフィッシングサイトが増加していると報告している。

 ところが過去にさかのぼって計算してみると、1月から3月までの金融機関をかたるフィッシングの平均(推定件数)が2000件に満たなかったり、4月の報告件数の75%を金融機関が占めるにもかかわらず、オンラインゲームが約30%を占めるとしていたり(丸め位置を前月に揃えると多くて25%)と、上記内容と一致しない。オンラインゲームのフィッシングについては、報告数全体に対する割合を示しているため、一方が減るともう一方の相対的な割合が増し、増えているように錯覚してしまうことがある。比較のため実数を計算してみると、3月が327件(1921件の17%)であるのに対し、4月は最大でも222件(金融機関以外の件数)と、金融機関ほどではないが、約3割も減少していることがわかる。

 これでは国内のフィッシング発生状況がわからないため、日本語で誘導または日本語の偽サイトに誘導するおもなフィッシングが、今年になってから毎日何ブランド発生したかを集計してみた。結果は、37回(1月)、42回(2月)、56回(3月)、49回(4月)と、月平均にするとそれほど極端な変化はなく、1日1回強の攻撃が続いていることがわかる。なお、これらはネット上で報告されたもののうち、稼働確認のとれたものの数なので、漏れが多数あることをご了承いただきたい。また、日本語サイトが大量に発生しているペイパルとアップルのフィッシングに関しては、国内のユーザーを狙ったものかどうかを識別できないものが大半なので、すべて除外している。

■銀行口座を狙うフィッシング――全体的に減少するも断続的に継続

 平日の昼間に毎日行われていた、電話番号宛てにテキストメッセージを送るSMSを使った「三井住友銀行」のフィシングが、4月上旬で終了した。代わって登場したのが、メールで誘導する「ゆうちょ銀行」のフィッシングで、交代時期には「三井住友銀行」の偽サイトと同じサーバー上に「ゆうちょ銀行」の偽サイトが開設されていた。この「ゆうちょ銀行」のフィッシングもまた、平日の昼間を狙い毎回数個の新ドメインを投入しながら続いたが、2週間余りで失速し、四月下旬から週1回あるかないか程度の頻度になっている。5月に入ってからも、断続的に行われているので注意したい。
 2月に連日続いていたメールで誘導する「りそな銀行」のフィッシングは、3月中旬に終息。3月末から4月頭にかけて一時復活したものの、今日まで途絶えたままだ。執拗に繰り返されたオンラインバンキングのフィッシングは、全体的にかなり減っている。

■クレジットカード情報を狙うフィッシング――4月、5月と増加傾向

 銀行口座を狙うフィッシングが減少したのに対し、増加傾向にあるのがクレジットカード会社の会員サイトや通販サイトを装い、クレジットカード情報をだまし取ろうとするフィッシングだ。3月は、セゾンカードのクレディセゾンが運営する会員サイト「Netアンサー」を装うフィッシングと、通販サイト「アマゾン」を装うフィッシングが数回観測されたが、4月は攻撃頻度が増し、セゾンがほぼ毎週末の2~3日、アマゾンもほぼ毎週数回、攻撃が行われた。アマゾンのフィッシングでは、メールのほかにSMSを使って誘導する手法も用いられている。これらのフィッシングは5月に入ってからも続いており、アマゾンを装うフィッシングメールが先週はじめに、土日には、セゾンの会員サイト「Netアンサー」に加え、セディナの会員サイト「OMC Plus」の登録ページに誘導するフィッシングも来ている。

 アマゾンのフィッシングメールは、「●●●不審なログインアクティビティ!」という件名(おもに●●●の部分が変化する)で届き、「アカウントが一時的に停止されました」といって解決するよう促し、偽のログインページに誘導する。SMS版は、「第三者のよる不正アクセスを検知したため、パスワードを見直し、お支払方法の再登録をお願いします (URL)」という内容で、アマゾンのトップページそっくりの偽サイトへと誘導する。「Netアンサー」と「OMC Plus」は、「【重要:必ずお読みください】」という件名のメールで不正アクセスの発生を匂わせ、登録確認と称してそれぞれの会員登録ページそっくりに作られた偽サイトへと誘導する。

 このほかに、ペイパルとアップルのフィッシングが、毎日世界規模で多発しており、いくつかの偽サイトが日本語表示をサポートしている。ほとんどが海外のフィッシングだが、国内のユーザー宛てにフィッシングメールが舞い込むこともあり、日本語のフィッシングメールも昨年あたりから観測されている。今のところは、「こんにちはクライアント」「親愛なるクライアント」などの書き出しで始まる、機械翻訳丸出しの不自然な日本語メールだが、特にアップルを装う日本語メールは頻繁に観測されているので注意したい。アカウントが停止するなどといってアカウント情報を確認するよう促し、偽サイトにログインさせてクレジットカード情報をだまし取る手口だ。このようなメールが毎月数回飛び交っているので注意していただきたい。

■ゲームアカウントを狙うフィッシング――連日続く攻撃

 オンラインゲーム系は、3月に再開した「スクウェア・エニックス」を装うフィッシングがいつになく短命で、ひと月経たずに終息したものの、4月20日ごろに再復活。ひと月経過後の現在も、連日攻撃を続けている。
 3月の再開時からは、フィッシングメールが「ドラゴンクエストX」の画像をあしらった精巧なものになっているので、うっかりしていると騙されてしまうかもしれない。「[スクウェア・エニックス アカウント]のお知らせ」という件名で届くメールは、「お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、もしくは不審なアクセスを検知したため、ログインが制限されました」という、ログイン制限を通知する本物のメールの文面を流用しており、日本語の不自然さもない。

 一連のフィッシングでは、大量のホスト名と中継サイトを連日投入する手口が使われて来たが、最近は中継サイトを用いておらず、毎日10件程度投入していたホスト名も、ここ数日は1日数件に落ち込んでいる。サーバーもこの1月は同じ場所だ。以前に比べ熱心さは薄れたようにみえるが、相変わらず続いてはいるので、利用者は注意していただきたい。

(2016/05/24 セキュリティ通信)

【関連URL】
・2016/04 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201604.html

<4月以降に発生した主なフィッシングの関連告知>
・OMC Plus をかたるフィッシング (2016/05/23)
http://www.antiphishing.jp/news/alert/omc_plus_20160523.html
・[更新] セゾンNetアンサーをかたるフィッシング (2016/05/23)
http://www.antiphishing.jp/news/alert/saison_20160523.html
・Apple をかたるフィッシング (2016/05/20)
https://www.antiphishing.jp/news/alert/apple_20160520.html
・ゆうちょ銀行をかたるフィッシング (2016/04/12)
https://www.antiphishing.jp/news/alert/yuucho_20160412.html
・[更新] セゾンNetアンサーをかたるフィッシング (2016/04/11)
https://www.antiphishing.jp/news/alert/saison_20160411.html
・[更新] りそな銀行をかたるフィッシング (2016/03/31)
http://www.antiphishing.jp/news/alert/_20160331_resonabank.html
・Amazon をかたるフィッシング (2016/02/01)
http://www.antiphishing.jp/news/alert/amazon_20160201.html
・スクウェア・エニックス(ドラゴンクエストX)をかたるフィッシング (2016/03/09)
http://www.antiphishing.jp/news/alert/_squareenix20160309.html