So-net無料ブログ作成

年度末も続いたフィッシング――MS、LINE、グーグル、アマゾン、ウェブマネー [フィッシング]

 2016年度の最終週だった先週も、さまざまな企業やサービスをかたるフィッシングメールやSMSが飛来した。今週からいよいよ新年度が始まり、ネット環境が変わる方やネット1年生の方も多いことだろう。スタートからつまずかないよう、メールやSMSの取り扱いには、十分注意していただきたい。

 先週は、LINE、グーグル、アマゾン、アップルのフィッシングが連日繰り返されたほか、マイクロソフトとウェブマネーの偽メールも観測された。アマゾンやグーグルに関しては、未納料金があるなどと言って電話をかけさせようとする架空請求SMSも観測されている。

■マイクロソフト(直近:3月31日)

 攻撃者は今のところ1つで、誘導手段にはメールが用いられている。3月31日朝にばらまかれたメールの差出人は「マイクロソフト安全検証チーム」、メールアドレスには、企業や個人など不特定多数のメールアドレスが勝手に使われている。「[大切]マイクロソフトのプロダクトキーが不正コピーされた警告です!」という件名で送られたメールは、3月17日のものとは少し異なる文面だが、オフィスソフトのプロダクトキーが何者かにコピーされているので認証作業を行うよう指示し、「今すぐ認証」をクリックさせようとする。
 クリックすると、マイクロソフトとは無関係なURLの中継サイトを経由して、オフィスの公式サイトに見せかけた偽サイトに誘導される。偽サイトのURLは、「support」や「security」「securityteam」などの文字列に「microsoft」や「office」を織り込んだ、やや長いもの。公式サービスと違いHTTPS接続ではないため、錠前マークも「Microsoft Corporation」という運営者名も表示されない。騙されると、マイクロソフトアカウントやクレジットカード情報を詐取される。

<参考URL>
・マイクロソフトをかたるフィッシング (2017/03/31)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/microsoft_20170331.html

■LINE(直近:3月31日)

 LINEを乗っ取り、友だちに登録されている相手にウェブマネーを購入させ騙し取ろうとする攻撃で、同じ攻撃者がほぼ毎日フィッシングメールをばらまいている。メールの差出人は、表示名もメールアドレスも公式のものに偽装しているが、中身は「お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします」という少し不自然な日本語で書かれている。リンクは公式サイトのURLに見えるが、実際のリンク先は公式サイトとは無関係なもの。最近までは、公式と同じ「.me」ドメインに「line」の文字列を織り込んだ紛らわしいドメイン名を使用していたが、3月29日には「.cc」ドメインを大量に投入。それらが全滅し、2日後の31日には中国(.cn)ドメインの偽サイトへと誘導している。
  LINEのアカウントは、主に機種変更時に用いるもの。新しいスマートフォンにインストールしたLINEに、アカウントに登録してあるメールアドレスとパスワードを使ってログインし、アカウントに紐づけられた電話番号宛てにSMSで送られてくる4桁の番号を入力すると、友だちリストや購入したスタンプなどの以前の登録情報を引き継ぐことができる。連日繰り返されているLINEフィッシングは、この機能を悪用してLINEを乗っ取ろうとするもの。SMS宛てに届く4桁の認証番号が最後の砦なので、絶対に他人に教えてはいけない。

<参考URL>
・[更新] LINE をかたるフィッシング (2017/03/16)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20170316.html

■グーグル(直近:3月30日)

 攻撃者は今のところ1つで、電話番号あてに短いメッセージを送るSMSが誘導手段に使われている。送信元は、同社の認証SMSに使われる海外の電話番号や「Google」という名前ではなく、「070」「080」「090」といった国内の携帯番号なのが特徴。現在送られているSMSは、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というメッセージだが、このほかに「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」というメッセージで誘導することもある。
 誘導先には、ホスティンガーの無料サーバーが使われており、同社が提供するドメイン(96.lt、hol.es、pe.hu)に2~3文字のアカウント名を付けたホスト名をそのまま使用している。googleとは無関係のURLだが、名前が短いので、「goo.gl」のような短縮URLと勘違いしてしまうかもしれない。クリックすると、クレジットカード情報を入力するフォームがいきなり表示される。公式のサービスと違いHTTPS接続ではないので、錠前マークが表示されない。
 なお、Google相談窓口などと称し、「動画サイトの視聴履歴があり未納料金が発生しています。本日ご連絡ない場合民事請求手続きに移行します」というような内容のSMSを送り、電話をかけさせようとする架空請求の報告もある。絶対に電話しないよう注意していただきたい。

<参考URL>
・Google Play をかたるフィッシング (2017/03/15)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/googleplay_20170315.html

■アマゾン(直近:3月30日)

 攻撃者は複数。最近はもっぱらメールによる誘導だが、SMSが使われることもある。差出人を偽装したものが多いので、差出人を見て本物と早合点しないよう注意したい。メールの内容は、アカウントが無効になったとか不審なアクセスあったというような異常を理由に、記載したリンクをクリックして確認するよう促す。誘導先の偽のログインページにログインさせ、クレジットカード情報などをだましとる手口だ。
 誘導先には、全く無関係なURLを用いたものもあるが、短縮URLや中継サイト(リダイレクタ)を使うパターンや、紛らわしい名前を用いるケースもある。HTTPS接続で錠前マークが表示される偽サイトもあるので、必ずドメインが「amazon.co.jp」であることも合わせて確認していただきたい。
 アマゾンも前掲のグーグルと同様、架空請求SMSが多数報告されているほか、注文の確認と称して出会い系サイトに誘導するメールや、代金を支払わせて商品を送らない、あるいは偽物を送り付ける通販詐欺サイトに誘導するメールも報告されているので、騙されないよう注意していただきたい。ちなみに本物のアマゾンからのメールは、公式サイトや公式アプリのアカウントサービスにある「メッセージセンター」でも確認できる。メッセージセンターには、偽のメールは届かない。

<参考URL>
・Amazon をかたるフィッシング (2017/01/31)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/amazon_20170131.html

■アップル(直近:3月29日)

 攻撃者は複数で、いずれも誘導手段としてメールを用いている。差出人を公式メールに偽装したものと偽装していないものがあるほか、しばしば英文メールも舞い込んでくる。メールの内容は、アカウントがロックされるなどの理由で手続きや確認を求めたり、身に覚えのない請求書メールで購入をキャンセルさせたりする手口で、リンクをクリックさせようとする。メールの中身が「情報サポートID.pdf」という添付ファイルに書かれたものも報告されている。
 誘導先は、本物のApple StoreやApple IDのログインページを模したものだが、翻訳が不完全で怪しい日本語になっていることもある。URLには、アップルとは全く無関係なものと、「apple」の文字列を織り込んだ長いものがあり、HTTPS接続で錠前マークが表示される偽サイトも多いので注意したい。ドメインが「apple.com」であることや、アドレスバーに「Apple Inc.」という運営者名が表示されていることを必ず確認していただきたい。

<参考URL>
・Apple をかたるフィッシング (2017/02/07)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170207.html
・Apple をかたるフィッシング (2017/02/09)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20170209.html

■ウェブマネー(直近:3月28日)

 今月23日に、アカウント情報を詐取するフィッシングが行われたが、その誘導先の偽サイトが28日にリニューアルし、同社が年末年始に行った「100人に1人WebMoney最大全額還元キャンペーン」の偽サイトに変わった。今回もメールを使った誘導で、差出人を「WebMoneyファンクラブ事務局」に偽装した、『「10000人に1人WebMoney最大全額還元キャンペーン」のお知らせ』という件名の偽メールが見つかっている。
 今回の偽サイトは、キャンペーンへの応募と称してプリペイド番号を入力させようとするもの。プリペイド番号は、ウェブマネーを使って支払う際や、コンビニで購入したカードからウォレットにチャージする時に使用する16桁の英数字のこと。これを相手に教えてしまうと、残高全額を使われてしまうので注意していただきたい。
 誘導先の偽サイトは、本物のキャンペーンサイトをもとにした精巧なもので、URLに「webmoney●.com」(●は英字)という紛らわしいドメイン名を使用している。ただし、公式サイトと違いHTTPS接続ではないため、アドレスバーに錠前マークも「WebMoney Corporation」という運営者名も表示されない。

<参考URL>
・【ご注意】ウェブマネー(WebMoney)をかたる偽メールにご注意ください(ウェブマネー)
http://www.webmoney.jp/news/2017/7829.html

(2017/04/03 セキュリティ通信)