So-net無料ブログ作成

LINE乗っ取りフィッシングが新装、パスワード変更と生年月日求めるメールに注意 [フィッシング]

 昨年11月以来、毎日のように続いているLINEを装うフィッシングメールとサイトが、先週末にリニューアルした。これを受け、フィッシング対策協議会は30日、注意を呼び掛ける緊急情報を公開した。

 LINEのフィッシングは、不特定多数にメールを送り偽サイトへと誘導し、LINEのアカウント情報(メールアドレスとパスワード)と電話番号、SMSで送られて来る認証番号を入力させるもの。指示に従って操作すると、その場でLINEのアカウントを乗っ取られ、「友だち」に登録された知り合いに、コンビニ行って電子マネー「WebMoney」の購入を依頼するメッセージが送られる。自身のLINEが使えなくなってしまうだけでなく、騙された知り合いに金銭被害が及ぶおそれがあり、全国の都道府県警からも度々注意喚起が出ている。

 これまでに行われたLINEを装うフィッシングメールとフィッシングサイトの同時リニューアルは、偽サイトへと誘導する理由が変わり、偽サイトがそれに合わせたデザインに変更さてきた。アカウントが異常ログインされたので確認するよう促す初期型の「安全認証」は、今年5月にアカウントの変更申請が行われたので本人以外の操作なら申請を解除するよう促す「変更確認」メールになった。

 7月には、2段階パスワードを設置したので設定するよう促す「二段階パスワード設置」メールに変わった。この二段階パスワードは、偽サイト上では、いわゆる「秘密の質問と答え」として実装されており、その後メールが「アカウント保護の質問設定」という実態に合わせた内容に変更されている。

 今回のリニューアルでは、パスワード変更と生年月日登録を求める内容のメールに変わり、偽サイトもそれに合わせたデザインに変更されている。

■「パスワード変更」と「生年月日登録」を求める不自然な日本語メール

 30日までに確認されたメールの件名は、「LINEへのメールアドレス」「LINEアドレス」「LINEシステム配信」の3種類。文面はどれも同じで、次のような不自然な日本語の内容となっている。

 「システムのテストによりますと、あなたのアカウントのパスワードは簡単しすぎて、安全問題がらごさいます。すぐにパスワードを改正して、アカウントをログインするための二級必要パスワードとして、個人の生年月日を設置してください」(原文のまま引用)

 メールの差出人やリンクの偽装はこれまで通りだが、バリエーションが多いのが最近の特徴だ。特に差出人のメールアドレスに関しては、LINE公式に偽装したもののほかに、実在するいろいろな企業のメールアドレスが頻繁に使われている。

■「真のリンク先URL」は「非HTTPS接続」の中国ドメイン

 リンク先の長押し(スマートフォン)、またはリンク先にマウスポインタを重ねる(パソコン)方法で、「真のリンク先URL」を確認していただきたい。今年4月以降は、一貫して 中国のドメイン「.cn」を使用しており、大半が正規サイトを装った「www.line●●.cn」という形式のホスト名になっている。URLの先頭も、暗号化通信の「https:」ではなく、暗号化されない「http:」だ。

 不自然な日本語、無関係なメールアドレスとURL、非HTTPS接続と、怪しさ満載のメールだが、騙されてリンクをクリックしてしまうと、シンプルな公式サイトのログインページよりもさらに簡素化された偽のログインページが出現する。騙されてログインすると、メールにあった「新しいパスワード」と「生年月日」の入力を求めてくるのだが、間に紛れて「電話番号」の入力欄があり、これを入力しないと先に進めない。

 電話番号も入力して「次へ」をクリックすると、SMSで届いた認証番号の入力を求められる。同時に、指定した電話番号には公式からのSMSが届く。『認証番号を他人に教えるとアカウントが悪用される危険があります。本人確認を続ける場合、認証番号「●●●●」をLINEアプリで入力して下さい』という内容のSMSだ。

 攻撃者は、この認証番号の入力を求めているのだが、届いたSMSの警告通り、認証番号はLINEアプリで入力するものであり、決して他人に教えてはいけない。指示に従って認証番号を入力してしまうと、次の瞬間にLINEが乗っ取られ、自身のLINEは利用できなくなってしまう。LINEは、他の端末で同じアカウントを利用できないようになっているため、先に利用していた自分は追い出され、端末に保存された情報は全て削除されてしまう。

 ちなみにこのLINEのフィッシングでは、アカウントの移行手続きと同じ操作を行ってユーザーのLINEを乗っ取る。この操作は、その場で認証番号を受け取って端末を操作しなければならないため、攻撃者はフィッシングサイトの裏側で、リアルタイムで応対しているとみられる。そのような関係からか、LINEのフィッシングサイトは他のフィッシングサイトのような24時間営業ではなく、サイトにつながるのは朝から宵の口までとなっている。

(2017/11/01 セキュリティ通信)

【関連URL】
・LINE をかたるフィッシング (2017/10/30)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/line_20171030.html
・LINEを騙った連絡が届いた(LINEヘルプ)
https://help.line.me/?contentId=20000293

【関連記事:セキュリティ通信】
・LINEを乗っ取るフィッシングに新手口、「二段階パスワードの設置」メールに注意
http://security-t.blog.so-net.ne.jp/2017-07-07-1
・まだまだ続く「LINE乗っ取り」、なりすましメールやメッセージに注意
http://security-t.blog.so-net.ne.jp/2017-05-30
・LINE乗っ取りの新手口 メール「LINE-安全認証」で偽サイトに誘導
http://security-t.blog.so-net.ne.jp/2016-12-13
・暗躍するLINEなりすまし――他人に教えてはいけないSMS認証番号
http://security-t.blog.so-net.ne.jp/2016-11-25