So-net無料ブログ作成
検索選択

グーグルを騙るフィッシング、仕掛け人の摘発でついに終焉 [フィッシング]

 約1年間、連日繰り返されたグーグルを騙るフィッシングが、ようやく終息したようだ。報道各社が26日、フィッシングを仕掛けていた詐欺グループが今月初めに逮捕されていたことを報じた。

 各社の報道によると、逮捕されていたのは東京都豊島区の男(35歳)と横浜市港北区の男(52歳)の2人。直接の逮捕容疑は、アカウント情報を不正に取得する、あるいは取得しようとする行為を禁じた不正アクセス禁止法や、クレジットカード情報を不正に取得する行為を禁じた割賦販売法違反ではなく、フィッシングで不正入手したクレジットカード情報を悪用し、現金を騙し取った詐欺容疑だという。

 容疑者たちは、フリーマーケット(オークションとの報道も)に架空出品し、それを落札して不正取得したカードで代金を支払うという、自作自演の「クレジットカード現金化」の手口で現金を騙し取っていたそうだ。各社の報道では、全国の約1000人から計約2000万円を騙し取ったという。

■容疑者たちが仕掛けたグーグルを騙るフィッシング

 容疑者たちは、昨年7月頃からグーグルに見せかけた偽のサイトに誘導し、クレジットカード情報などを入力させるフィッシングを繰り返していた。誘導手段は、電話番号あてに短いメッセージを送るSMS(ショートメッセージ、ショートメール、Cメール、ライトメールとも)が使われた。SMSの送信元は、グーグルの認証SMSに使われる海外の電話番号や「Google」という名前ではなく、「070」「080」「090」といった国内の携帯番号なのが特徴だった。

 送られて来るメッセージは、「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリック」というパターンと、「Googleよりお客様ご利用端末からウイルスを確認。個人情報漏洩を防ぐため削除を実行してください」というパターンの2種類だ。

 前者は、「Google Play」に見せかけた偽の登録フォームを開き、支払方法のクレジットカード登録が必要であるとし、クレジットカードの種類、番号、名前、有効期限、セキュリティコード、電話番号、生年月日、メールアドレスを入力させようとする。実際のSMSと偽サイトの例は、末尾のフィッシング対策協議会の緊急情報「Google Play をかたるフィッシング (2017/03/15)」で確認できる。ちなみにこのタイプが最後に観測されたのが6月末なので、逮捕されたのはその直後とみられる。

 後者は、報道各社が報じているマルウェア感染を装うタイプで、ウイルスを駆除すると称したグーグルの偽サイトへと誘導する。このタイプが最後に観測されたのは、今年2月だ。偽の感染警告ページで「ウイルス除去を実行する」ボタンをクリックすると、削除しているように見せかけた偽の画面を表示した後、ウイルス感染を防ぐためにアンチウイルスソフトを申し込むよう勧められる。3万9800円のソフトが、期間限定特別価格9800円で購入できると称し、クレジットカード支払い用にクレジットカードの種類、番号、名前、有効期限、セキュリティコード、生年月日、電話番号、メールアドレスを入力させようとする。

 他のフィッシングとの大きな違いは、支払いにセブンイレブンのコンビニ決済が選択できる点だ。こちらは、名前、生年月日、メールアドレス、電話番号を入力させるようになっており、返信メールで支払いに必要な収納番号が届く。カード情報の代わりに、代金を直接騙し取ろうというのだ。

■フィッシングに気付くためのチェックポイント

 前掲のSMSが国内の携帯回線から送信されている点や、実際にはない支払い方法の登録や感染通知に怪しさを感じれば、今回のフィッシングには引っかからずに済む。ほかにもフィッシングに気付けそうな点がいくつかあったので紹介したい。

 メールと違い、SMSは短いテキストメッセージしか送ることができず、リンク先を本物に見せかける偽装も行えない。一連のフィッシングでは、誘導先にホスティンガーの無料サーバーが使われており、同社が提供するドメイン(96.lt、hol.es、pe.hu、16mb.com、esy.es、890m.com)に2~3文字のアカウント名を付けた「●●●.96.lt」というようなホスト名がそのまま使われていた。本物のサービス(google.com、google.co.jp)とは明らかに違うので、そこに気付けばクリックせずに済む。ただしURLが短いので、「goo.gl」のような短縮URLと勘違いしてしまうかもしれない。

 グーグルは、全てのサービスにHTTPS接続を使用している。公式サイトは、必ず「https://」で始まり、錠前マークが表示される。一連の偽サイトはHTTPS接続ではないので、URLは「http://」で始まり、錠前マークは表示されない。もし錠前マークの無い非HTTPSページでクレジットカード情報や個人情報、ログイン情報などの入力を求められたら、それは間違いなく偽物なので、決して入力してはいけない。

 なお最近は、HTTPS接続のフィッシングサイトも多いので、錠前マーク付きでも安心できない。URLや運営者名も合わせてチェックしていただきたい。スマホのブラウザでは、URLが見えにくかったり、運営者名を確認できなかったりすることも多い。メールやSMSのリンクは決してクリックせず、ブラウザのブックマークなどから公式サイトを開くようにすると安全で確実だ。

(2017/07/27 セキュリティ通信)

【参考URL】
・Google Play をかたるフィッシング (2017/03/15)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/googleplay_20170315.html