So-net無料ブログ作成
検索選択

2017年2月の国内フィッシング事情――アマゾン、アップル、グーグルを装う手口 [フィッシング]

 実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシングが、2月も繰り返し行われた。前月に続き、LINEの乗っ取りとクレジットカード情報を狙う攻撃が頻発している。

 フィッシング対策協議会の2月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は783件(前月比47件増)。ユニークなURL件数は249件(前月比29件増)、悪用されたブランド件数 (海外含む) は16件(前月比7件減)だったという。

 協議会からの緊急情報は、アップル2回、ペイパル、LINE、JCB、マイクロソフト各1回の計6回だった。報告件数が増加した原因として、マイクロソフト、LINE、アップルをかたるフィッシングの報告件数が、それぞれ増えたことをあげている。LINE以外は、クレジットカード情報を騙し取ろうとするもの。LINEのフィッシングは、LINEを乗っ取り登録されている友だちにコンビニで電子マネーのプリペイドカードを購入させようとするもので、いずれも、金銭被害に直結する。

 月次報告にはないが、2月はこのほかにグーグルとアマゾンをかたるフィッシングが、前月に続き頻繁に行われた。これらも主にクレジットカード情報を狙ったフィッシングだ。
 単発のものでは、プロバイダをかたるWebメールのアカウントを狙ったフィッシングや、オンラインゲームのキャンペーンに見せかけ、携帯キャリアのマイページのアカウントを騙し取ろうとするフィッシングも観測された。メールアカウントを乗っ取られると、迷惑メールの送信に悪用される恐れがある。実際に、このフィッシングでばらまかれたメールや、クレジットカード会社の会員ページに誘導するフィッシングメールなどで、乗っ取られたとみられる国内のプロバイダメールから送信されたものが見つかっている。プロバイダや携帯キャリアのマイページのアカウントは、各種設定や場合によってはポイントの利用や決済なども行えることがあるので、より深刻な被害に発展するかもしれない。

■データスキームを使ったアドレスバーの細工(アマゾン、ペイパル)

 フィッシング対策協議会が1月31日に緊急情報を出したアマゾンをかたるフィッシングは、2月も頻繁に行われた。このフィッシングを仕掛けていたグループは、並行してペイパルのフィッシングも手掛けている。2月3日の緊急情報にある、ペイパルをかたるフィッシングがそれだ。同じサーバー内に仕掛けられた英語版も見つかっている。これらのフィッシングの一部では、データスキームでアドレスバーのURLを本物に見せかける細工が行われていた。協議会のペイパルの緊急告知にあるフィッシングサイトの画面画像に、そのことが記されている(ペイパル、アマゾンの両方で細工された偽サイトが見つかっている)。

 スキームというのは、URLの先頭のアクセス方法を示す部分のこと。ブラウザのアドレスバーに表示されるのは、通常はWebサーバーへのアクセスを示す「http」や「https」だが、「mailto」でメールソフトを起動したり、「tel」で電話番号あてにダイヤルしたりすることもできる。データスキームは、これが「data」になっているもので、その後にページのデータや画像データなどの実データを直接埋め込むことができる。
 例えばこのデータスキームを使ったアマゾンのフィッシングサイトにアクセスすると、次のようなURLを開こうとする。
data: text/html;https://www.amazon.co.jp/…中略…;base64,<実データ>

 するとアドレスバーには、「data: text/html;https://www.amazon.co.jp/…中略…」という文字列が表示され、ブラウザは「<実データ>」部分を「base64」という方式でコード化された「text/html」、すなわちHTMLデータ(Webページ)とみなして処理する。「<実データ>」には、画面全体にひとつのフレームを作成し、その中に偽サイト本体を読み込むWebページが埋め込まれており、その結果、アドレスバーの表示はそのままに、画面全体に偽サイト本体が表示される。アドレスバーをよく見れば「https:…」ではなく「data:…」で始まっており、https接続特有の錠前マークの表示もないが、気を付けないと本物のアドレスが表示されていると勘違いしてしまうかもしれない。
 このようなデータスキームを使ったアドレスバーの細工は、海外のフィッシングサイトでは以前からときどき見られたが、日本語のフィッシングサイトで使われたのは、これが初めてかもしれない。

■支払いのキャンセルで誘導する手口(アップル)

 偽サイトに誘導するフィッシングメールの手口と言えば、さまざまな理由を付けてアカウントの確認や更新を行うよう促し、記載したリンクをクリックさせようとするものが一般的だ。フィッシング対策協議会が2月7日に緊急情報を出した、アップルをかたるフィッシングをはじめとする大半が、このような手口で偽サイトへと誘導するが、2月9日に緊急情報出したもう1件のアップルをかたるフィッシング事例では、アプリの請求書を装う別の手口が用いられた。

 この請求書は、Appleの公式ストア「App Store」で配布されているゲームアプリ「クラッシュ・オブ・クラン」の課金に見せかけた偽の請求書で、「この購入を承認していない場合は、ご覧ください。iTunesの支払いキャンセル」と書かれている。「iTunesの支払いキャンセル」の部分がリンクになっており、驚いたユーザーがキャンセルしようとしてクリックするとフィッシングサイトに誘導される仕組みだ。
 元の英語版フィッシングメールの「If you did not authorize this purchases, please visit iTunes Payment Cancellation」の翻訳に難があるようで、おかしな日本語になっている。ほかにも、差出人の名前は偽装されているもののメールアドレスがアップルとは無関係だ。そもそも「App Store」は支払いが先なので、後から請求書が来ることはない。ファミリー共有で家族の購入やダウンロードを承認するようになっている場合は、事前にメールではなくメッセージでリクエストが送られてくる。というように、怪しいメールであることに気付くことのできる要素はたくさんある。
 メールのリンクは、できるだけクリックしないようにし、止むを得ずクリックする場合には、不審点がないかどうかよく確認するように努めたい。

■ようやく話題になったグーグルのフィッシング

 グーグルを装うSMSで誘導する日本語のフィッシングが、昨年7月から頻繁に繰り返されている。筆者が偽サイトの稼働を確認できたものだけでも、7か月間で35回。過去半年間では、アマゾン、LINE、スクウェア・エニックスに次ぐ頻度だ。この間、本稿では幾度か注意を呼びかけたが、セキュリティ機関や企業が注意喚起を行うことはなく、ネットメディアがとりあげることもなかった。
 2月16日、トレンドマイクロは同社の公式ブログに『「Google Play」の日本語フィッシングサイト事例、SMSでの誘導を確認』という記事が掲載され、いくつかのネットニュースでも話題になった。同社は、このフィッシングを「Microsoftアカウント」や「Apple ID」「Yahoo! アカウント」といった複数のクラウドサービスの使用に利用可能なマルチサービスアカウントの詐取を狙う攻撃と捉えているようだが、フィッシングを仕掛けているグループの動向からは、アカウント狙いではなく、金銭の詐取に直結した攻撃である可能性が高い。

 このグループが送るグーグルを装うSMSには、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」と「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」の2種類がある。
 前者は、トレンドマイクロのブログで紹介されている、誘導先の入力フォームにGoogleアカウントやクレジットカード情報などを入力させるもの。当初はGoogleアカウントとパスワードの入力欄はなく、本人確認なしでカード情報を登録させようとする不自然なものだったが、その後アカウントの入力欄が追加された。ログインしてから操作する通常の手順とは異なり、未だ不自然さは拭いきれていない。
 後者は、誘導先の偽サイトで偽のマルウェア(ウイルス)駆除を行わせた後、感染を防ぐためと称してアンチウイルスソフトを申し込むよう勧められる。支払い方法には、クレジットカードとコンビニの代金収納が用意されており、前者はクレジットカード情報などを入力。後者はメールアドレスを入力すると、「Googleバターリアズ」と称するところから、コンビニ決算用の収納番号が送られて来る。クレジットカード情報を騙し取るフィッシングもしくは、代金を騙し取る詐欺である可能性が高い。

 ちなみにこのグループは、ワンクリック詐欺と有料サイトの代金支払いを求める架空請求詐欺を並行して行っていた形跡がある。前者は、アクセスすると「シャルム東京」という出会い系に見せかけたサイトにいきなり登録され、入会金4万円の支払いを求められるもの。後者は、「DTIサービス」を名乗り、有料情報サイトの無料期間中に解約しなかったとして利用料金の支払いを求め、記載した電話番号あてに電話をかけさせようとするもの。インターネットを使う詐欺グループが、組織的に行っている金銭目的の犯行のひとつと考えるのが妥当だろう。話題になったことが奏功したのか、一連のフィッシングはその後、終息したかのように見える。

(2017/03/03 セキュリティ通信)

【関連URL】
・2017/02 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201702.html

<注意喚起>
・[2017/02/03]ぷららを名乗る悪質な詐欺メールにご注意ください
https://www.plala.or.jp/support/info/2017/0203/
・[2017/02/03]PayPal をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/paypal_20170203.html
・[2017/02/06][更新] LINE をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20170206.html
・[2017/02/07]Apple をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170207.html
・[2017/02/08]【重要】ネクソンを装ったフィッシングメールにご注意ください ※2/8 16:35追記(ネクソン)
http://www.nexon.co.jp/news/detail.aspx?no=132318
・[2017/02/09]Apple をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170209.html
・[2017/02/16]「Google Play」の日本語フィッシングサイト事例、SMSでの誘導を確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14462
・[2017/02/20]MyJCB をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/jcb_20170220.html
・[2017/02/20]不審なメールにご注意ください(JCB)
https://www.jcb.co.jp/news/myjcb-fushin-mail-20170220
・[2017/02/27]マイクロソフトをかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/microsoft_20170227.html