So-net無料ブログ作成

PCやスマホのOSベンダー(MS、アップル、グーグル)かたるフィッシングに注意 [フィッシング]

マイクロソフト、アップル、グーグル――誰もが使用しているパソコンやスマートフォンのシステムベンダーになりすましたフィッシングが横行している。メールやSMSのリンクを不用意に開いたり、錠前マークのないWebサイトでログイン情報やクレジットカード情報などを入力したりしないよう注意していただきたい。

ほとんどのパソコンにはマイクロソフトのWindowsかアップルのmacOSが、スマートフォンにはアップルのiOSかグーグルのAndroidが使われており、各社のアプリやシステムと連携するインターネットサービスを使用している方も多い。当該企業になりすまして不特定多数にメールやSMSを送り、偽のWebサイトに誘導してクレジットカード情報を騙し取ろうとするフィッシングが横行している。当該企業の有料サービスや有料アプリを利用している方は、特に注意していただきたい。

■マイクロソフトをかたるフィッシング

 今月12日に続き、マイクロソフトをかたったフィッシングメールが、30日の夕方から夜にかけて大量にばらまかれた。差出人は、前回からドメインが少し変わったが「support@support-securityprotection-microsoft.com」という紛らわしいものが使われている。このドメインは、誘導先の偽サイトでもある。

 メールの件名は、前回と同じ「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」が使われている。メールの文面も前回と同一で、「日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。」として、本人の操作かどうかを確定するため、ただちに検証作業をするよう求めている。折しも、Office Premium搭載パソコンでライセンス認証エラーが発生するトラブルが発生しており、悪条件が重なった方は、ためらうことなく「今すぐ認証」のリンクをクリックしてしまったかもしれない。

 誘導先の偽サイトもまた、前回と同じものが使われており、「今すぐ認証」をクリックするとサインインを求められる。MicrosoftアカウントのIDとパスワードを入力してサインインすると、ライセンス認証と手続きと称し、氏名、郵便番号、住所、電話番号、クレジットカードの番号、有効期限、名義、セキュリティコードを入力させようとする。
 誘導先の偽サイトは、その日のうちにアクセスできなくなったが、予断を許さない。

■アップルをかたるフィッシング

 アップルをかたるフィッシングは、一部で多国語対応の偽サイトが使われており、日本語表示の偽サイトがほぼ毎日出現している。ほとんどが海外のユーザーを狙ったものだが、このタイプの偽サイトに誘導する英文メールが国内のユーザーに届くこともあるので注意が必要だ。それらとは別に、日本人を標的とした日本語メールも頻繁にばらまかれている。

 29日に見つかった日本語メールは、公式のドメインに偽装した「Apple IDのセキュリティ」という差出人から送られた、「お使いのApple IDがロックされました。」という件名のもの。本文は、「私たちは、あなたのアカウント情報の一部が誤っていることをお知らせしたいと思います。私たちは、あなたのApple ID情報を確認する必要があります。下のリンクをクリックしてアカウント情報を確認してください。」という不自然な日本語で、「マイアカウント確認」と書かれたリンクをクリックさせようとする。

 誘導先は、アップルストアの偽サイトで、「5cgk01.info」という本物とは全く違うドメインを使用しているものの、頭に「user-verify.account-apple.secure.com」を付けた紛らわしいURLになっている。アップルの偽サイトで注意しなければいけないのは、HTTPS接続で錠前マークが表示される偽サイトがたびたび出現している点だ。錠前マークだけでは、本物か偽物かは分からないので、証明書の運営者名またはURLの正当性も合わせて確認していただきたい。

 アップルのフィッシングもまた、多くがクレジットカード情報の詐取を目的としており、偽サイトにサインインすると請求先として氏名、住所、郵便番号、電話番号を、さらにセキュリティを確保するためと称して、クレジットカード番号、名義、セキュリティコード、有効期限、カードのユーザーIDとパスワード、生年月日を入力させようとする。偽サイトは、当日から翌日にはおおむねアクセスできなくなるが、すぐまた新しい偽サイトを設置し、再攻撃を仕掛けてくるので注意していただきたい。

■グーグルをかたるフィッシング

 グーグルをかたるフィッシングは、電話番号あてにメッセージを送るSMSで誘導するタイプが、昨夏からひんぱんに観測されている。特に多いのが、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というSMSで誘導するタイプだ。URLには、本物に似せた紛らわしいホスト名などは用意せず、偽サイトを設置した無料レンタルサーバのものをそのまま用いた、短縮URLのようにも見える短いURLだ。

 誘導先の偽サイトは入力フォームだけの簡素なもので、支払方法のクレジットカード登録が必要と言って、グーグルアカウントのIDとパスワード、クレジットカードの種類、番号、名前、有効期限、セキュリティコード、電話番号、生年月日、メールアドレスを入力させようとする。HTTPS接続ではないので、錠前マークは表示されない。

 今月28日からは、同じ攻撃者が仕掛ける別のタイプのフィッシングに切り替わっている。こちらは、「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」というSMSで、ウイルスを駆除すると称したグーグルの偽サイトへと誘導する。感染を警告する誘導先で「ウイルス除去を実行する」ボタンをクリックすると、削除しているように見せかけた偽の画面を表示した後、ウイルス感染を防ぐためにアンチウイルスソフトを申し込むよう勧められる。3万9800円のソフトが、期間限定特別価格9800円で購入できると称し、クレジットカード支払い用にクレジットカードの種類、番号、名前、有効期限、セキュリティコード、生年月日、電話番号、メールアドレスを入力させようとする。

 他のフィッシングと大きく異なるのは、セブンイレブンの代金収納が選択できる点だ。こちらは、名前、生年月日、メールアドレス、電話番号を入力させるようになっており、返信メールで支払いに必要な収納番号を発行するという。本当に入金できるかどうかは確かめていないが、セブンイレブンのインターネット決済用と称する「番号」が実際に送られて来たので、代金を騙し取る詐欺を兼ねているのかもしれない。

(2017/01/31 セキュリティ通信)

【関連URL】

・[更新] マイクロソフトをかたるフィッシング (2017/01/31)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/microsoft_20170131.html
・『ご注意!!OFFICEのプロダクトキーが不正コピーされています。』という件名のメールが、本日よりまた届いていると報告を頂いております。(マイクロソフトサポート @MSHelpsJP)
https://twitter.com/MSHelpsJP/status/826225987071442946
・Office Premium 搭載PCにて、ライセンス認証エラーになるケースが確認されています。(「Office」公式アカウント @MSOfficeJP )
https://twitter.com/MSOfficeJP/status/825871259703578624

【関連記事:セキュリティ通信】
・「OFFICEのプロダクトキーが不正コピーされています」というメールにご用心
http://security-t.blog.so-net.ne.jp/2017-01-12