So-net無料ブログ作成
検索選択

2017年1月の国内フィッシング事情――著名企業やサービスを装う攻撃が頻発 [フィッシング]

実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシングが、年明け早々から繰り返し行われた。前月に続き、LINE乗っ取りを狙う攻撃やクレジットカード情報を狙う攻撃が頻発した。

フィッシング対策協議会の1月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は736件(前月比271件増)。ユニークなURL件数は220件(前月比21件増)、悪用されたブランド件数 (海外含む) は23件(前月比4件減)だったという。協議会からの緊急情報は、アマゾン、マイクロソフト2回、NEXON、LINEの計5回だった。

 報告書の総評では、報告件数増加の原因をLINE、マイクロソフト、オンラインゲームをかたるフィッシングの報告件数が、それぞれ増えたことを挙げている。マイクロソフトやLINEなどのユーザー数の多いブランドをかたるフィッシングメールや、違和感のない日本語のフィッシングメールやサイトに騙され、情報を入力してしまったという報告が増えているという。

■アカウントを乗っ取るフィッシング(LINE、NEXON)

 報告書で増加の原因に挙げられていたLINEとオンラインゲームのフィッシングは、それぞれのアカウントの乗っ取りを目的としたもの。LINEについては、1月も年明け早々から連日のように続いており、25日を最後に終息していたが、2月2日に活動を再開したので注意していただきたい。手口などは、本通信の下記に詳述しているので、参照されたい。
・LINE乗っ取りの新手口 メール「LINE-安全認証」で偽サイトに誘導
http://security-t.blog.so-net.ne.jp/2016-12-13
・2016年12月の国内フィッシング事情――LINE乗っ取り、クレカ情報詐取が頻発
http://security-t.blog.so-net.ne.jp/2017-01-27

 オンラインゲームのフィッシングは、2013年から繰り返し行われているものの延長だ。以前ほど活発ではないが、1月の半ばの約1週間、NEXSONになりすましたフィッシングメールがばらまかれた。件名は、「【NEXON】会員登録情報変更通知メール」と「【警告】異常な回数のログイン試行がありました」の2種類があり、それぞれ、実際に公式サービスから送られて来る本物のメールの内容が使われているのが特徴だ。

■OSベンダーを装うクレカ狙いのフィッシング(MS、アップル、グーグル) 

 増加の原因としているマイクロソフトを装うフィッシングは、執拗に繰り返すLINEやNEXONとは違い、1月12日と30日の2回だけの観測だったが、ブランド力が高くフィッシングメールも大量にばらまかれたようで、1月最大の話題になった。このマイクロソフトを装うフィッシングと、月を通して頻繁に行われたグーグルやアップルを装うフィッシングについては下記に詳しい。いずれも、クレジットカード情報を狙ったものだ。
・PCやスマホのOSベンダー(MS、アップル、グーグル)かたるフィッシングに注意
http://security-t.blog.so-net.ne.jp/2017-01-31

 この記事では、マイクロソフトの偽サイトがその日のうちにアクセスできなくなったと報告しているが、翌日の夕方に別のサーバーで復活した。2月3日午後現在は、名前解決(ホスト名をIPアドレスに変換する仕組み)ができず、再びアクセス不能になったが、サーバー自体は稼働中だ。新たなフィッシングメールが送られているのかどうかは不明だが、引き続き注意していただきたい。グーグルについては、その後もSMSで誘導する2タイプのフィッシングが続いている。アップルについても、繰り返し行われているので注意したい。

■アマゾンを装うクレカ狙いのフィッシング

 グーグルやアップルと並ぶ高い頻度で繰り返されているのが、オンラインショッピングの大手アマゾンを装うフィッシングだ。アマゾンを装うフィッシングには、メールで偽のログインページに誘導するタイプと、SMSで偽のトップページに誘導するタイプが頻繁に行われてきたが、1月は、これらとは異なるデザインの偽サイトを使う、新たな手口のものが見つかった。

 新たなアマゾンのフィッシングは、1月半ばに「Amazonの請求情報をここで更新してください。」というSMSでの誘導が見つかり、その後は「あなたはAMAZONログイン認証情報をリセットする必要があります。」という件名のメールでの誘導が見つかっている。いずれも、誘導先をグーグルの短縮URLにしているのが特徴だ。筆者が把握している3件の短縮URLのアクセス状況からは、15日、17日、25日、30日をピークに、それぞれ数千回のアクセスがあったようだ。

 フィッシング対策協議会の1月31日付の緊急情報「Amazonをかたるフィッシング」では、ばらまかれたフィッシングメールと誘導先の偽サイトの画面が確認できる。この掲載情報は、17日と25日頃に行われたフィッシングのものと見られ、ここに記載された短縮URLの誘導先はすでに閉鎖されている。同様のメールは、30日頃にも再びばらまかれており、そちらの誘導先は2日まで稼働したした後、撤去された。

 なお、アマゾンのフィッシングメールの文面をそのまま流用した「PayPal-Japan:お支払いの詳細を今更新する必要があります」という件名のメールも見つかっている。手口は同じだが、こちらの誘導先は、PayPalの英語版の偽サイトだ。

■小規模なネットショップの利用者を狙うスピアフィッシング

 前月に続き、1月も複数の小規模なネットショップの利用者を狙う攻撃が観測された。手口などから、前月と同一犯とみられる。

 新たな標的は、日販アイ・ピー・エスが運営する「マグデリ」と「CLUB JAPAN」、ウィッスが運営する「KIYO通販専門店」、クラウドゲートが運営する「t-on」、オーレが運営する「プリオ」、ロイヤルアパートメントが運営する「rich」である。前月同様、「●●● 2000円代金券は配布中ですが」(●●●はサービス名)という件名のメールを、そのサービスの会員宛てに送る手口が使われたが、「t-on」に関しては、「2000円代金券」の部分が「無料1900円のスターコイン」となっていた。「スターコイン」は同サービスが発行しているサービス内通貨だ。

 フィッシングメールが再度ばらまかれたアットプランニングが運営する「大人のおもちゃ通販大魔王」や、plubeが運営する「カードショップ遊々亭」などでは、販売している特定の商品のセールスを装ったメールも使われた。

 一連のフィッシングに関しては、下記に詳述されている。
・“安全認証”をすると代金券やコインをもらえると誘うフィッシングメールに注意
http://security-t.blog.so-net.ne.jp/2017-01-10
・2016年12月の国内フィッシング事情――LINE乗っ取り、クレカ情報詐取が頻発
http://security-t.blog.so-net.ne.jp/2017-01-27

(2017/02/03 セキュリティ通信)

【関連URL】
・2017/01 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201701.html

<注意喚起>
・【重要】弊社を装った偽物メールにご注意ください(KIYO)(2017/01/04)
 ※アダルト関連情報を含むサイトなのでURLは省略
・弊社サービス『CLUB JAPAN』、『MagDeli(マグデリ)』を装ったフィッシングメールに関するお知らせとお詫び(日販アイ・ピー・エス)(2017/01/06)
http://www.nippan-ips.co.jp/ci/info20170106.php
・ [更新] LINE をかたるフィッシング(フィッシング対策協議会)(2017/01/10)
https://www.antiphishing.jp/news/alert/line_20170110.html
・【重要】当店になりすましたフィッシングメールに関して(通販大魔王)(2017/01/10)
 ※アダルト関連情報を含むサイトなのでURLは省略
・カードショップ -遊々亭-を騙るフィッシングメールにご注意ください。(遊々亭)(2017/01/10)
http://yuyu-tei.jp/news/20161214.php
・rich WEB STOREをかたったフィッシングメールにご注意ください(rich WEB STORE)(2017/01/11)
・【重要】ネクソンを装ったフィッシングメールにご注意ください ※1/11 17:50追記(ネクソン)(2017/01/11)
http://www.nexon.co.jp/news/detail.aspx?no=132318
・ [更新] NEXON をかたるフィッシング(フィッシング対策協議会)(2017/01/13)
https://www.antiphishing.jp/news/alert/nexon_20170113.html
・マイクロソフトを装った不審メールの配信について(マイクロソフト)(2017/01/12)
http://news.microsoft.com/ja-jp/2017/01/12/170112_information/
・マイクロソフトをかたるフィッシング(フィッシング対策協議会)(2017/01/12)
https://www.antiphishing.jp/news/alert/microsoft_20170112.html
・不正アクセスによる情報流出の可能性に関するお知らせとお詫び(クラウドゲームス)(2017/01/13)
http://www.crowdgames.co.jp/electronic/170107.pdf
・2017.1.10発生のフィッシングメールについて(プリオ)(2017/01/17)
http://www.oleshop.net/blog/j20170111/
・マイクロソフトを装った不審メールの配信について [1月31日](マイクロソフト)(2017/01/31)
http://news.microsoft.com/ja-jp/2017/01/31/170131_information/
・[更新] マイクロソフトをかたるフィッシング(フィッシング対策協議会)(2017/01/31)
https://www.antiphishing.jp/news/alert/microsoft_20170131.html
・Amazon をかたるフィッシング(フィッシング対策協議会)(2017/01/31)
https://www.antiphishing.jp/news/alert/amazon_20170131.html
・フィッシングメールに関する注意喚起(慶應義塾大学)(2017/01/31)
http://www.itc.keio.ac.jp/ja/news_20170131_email_phising_sfc.html

【セキュリティ通信:本文中に記載以外の関連記事】
・不正アクセス相次ぐ~通販サイトで情報漏えい、便乗フィッシングに注意(2017/01/06)
http://security-t.blog.so-net.ne.jp/2017-01-06
・「OFFICEのプロダクトキーが不正コピーされています」というメールにご用心(2017/01/12)
http://security-t.blog.so-net.ne.jp/2017-01-12