So-net無料ブログ作成

9月の国内フィッシング事情 [フィッシング]

実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが、9月も繰り返し行われた。執拗な攻撃を繰り返していたグループが活動を一時停止したため、攻撃頻度は激減している。


フィッシング対策協議会の9月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は417件(前月比384件減)。ユニークなURL件数は584件(前月比92件増)、悪用されたブランド件数 (海外含む) は25件(前月比2件増)だったという。報告件数減少の大きな原因として、金融機関をかたるフィッシングとオンラインゲームをかたるフィッシングの激減をあげている。

■オンラインバンキングとオンラインゲームを装うフィッシングが停止

 休止していたオンラインバンキングのアカウントを狙うフィッシングが8月下旬に再開したものの、8月いっぱいで再びピタリと攻撃を停止した。オンラインバンキングの方は、10月に入った現在も停止状態が続いている。
 オンラインバンキングのフィッシングには、「こんにちは!」や「貴様のアカウント」というフレーズが印象的なメールで誘導する系統と、ダイレクトのパスワードが失効するという内容のSMSや「ご登録パスワード変更完了のお知らせ」というハンゲームの公式通知を流用したメールで誘導する系統とがある。どちらもオンラインゲームのフィッシングも手掛けており、8月には、前者が連日スクウェア・エニックスのフィッシングを、後者が単発でハンゲームのフィッシングを行っていた。9月に入ると、オンラインバンキングだけでなく、これらオンラインゲームのフィッシングも完全に停止した。

■オンラインゲームを装うフィッシング再開

 9月19日ごろから、「こんにちは!」系のグループが仕掛けるオンラインゲームのフィッシングが再開した。ターゲットは、スクウェア・エニックス、ハンゲーム、ガンホーゲームズの3社だ。
 スクウェア・エニックスをかたるフィッシングメールは、“[スクウェア・エニックス アカウント]のお知らせ”という件名で届く。「ドラゴンクエストX」の画像をあしらった精巧なもので、「お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、もしくは不審なアクセスを検知したため、ログインが制限されました」という、ログイン制限を通知する同社の本物のメールの文面を流用している。

 ハンゲームとガンホーゲームズを装うフィッシングメールは、それぞれ“[ハンゲーム]ゲームアカウントのお知らせ”“[ガンホーゲームズ]ゲームアカウントのお知らせ”という件名で届く。「既に報道されておりますが、オンラインサービスを提供している他社において数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。本人確認のための認証メールを送信いたします。メールを受信して、記載されているURLをクリックしてください」という内容だ。

 これらフィッシングメールは、いずれもHTML形式になっており、記載されたリンクが正規サイトのURLに見えるが、実際には全く別の偽サイトへと誘導される。誘導先のホスト名には、いずれもフリードメイン「.usa.cc」のサブドメインで、それぞれの正規サイトのホスト名が織り込まれている。スクウェア・エニックスの偽サイトは、現行の正規サイトとは異なる旧サイトのコピーだが、ハンゲームとガンホーゲームズの偽サイトは、現在の公式サイトにそっくりなので注意していただきたい。困ったことに、この2社は正規サイトがどちらもHTTP接続であるため、錠前マークなしでのログインが常態化している。

■ライフカードを装うフィッシング

 オンラインゲームのフィッシングと前後して、同じグループが仕掛けるライフカードを装うフィッシングサイトも観測された。Visaのクレジットカードと同じように使えるプリペイドカード「Vプリカ」の会員サイト「Myページ」のログインページを模した偽サイトだ。9月にばらまかれたフィッシングメールについては把握していないが、以前は、他社から会員情報が流出したという、ハンゲームやガンホーゲームズのフィッシングで使用されたものと同じ内容のものが使われた。誘導先の偽サイトは、正規サイトのホスト名を織り込んだ「.usa.cc」のサブドメインだ。

■クレジットカード情報を狙うフィッシング

 9月はこのほかに、アップル、グーグル、アマゾンのフィッシングがそれぞれ複数回、観測されている。いずれも、クレジットカード情報をだまし取ろうとする。

<アップル>
 アップルを装うフィッシングは、連日大量に行われており、その中の一部に日本語化されたメールや偽サイトを使用する、国内向けのものがある。日本語メールは、「あなたのApple IDがロックされます」などの件名で、英文メールは「Your Apple ID has been suspended」などの件名で届き、アップルストアを装う偽サイトにログインさせ、住所や氏名などの個人情報とクレジットカード情報をだまし取ろうとする。

<グーグル>
 グーグルを装うフィッシングもまた、世界中で連日行われているが、国内のユーザーを標的とした現在行われているものは、「GoogleよりGoogle playアカウントのお支払方法登録のお願いです。詳細はURLをクリック(URL)」というSMSで誘導するもの。「Google Play」のロゴを配した偽サイトでクレジットカード情報を入力させようとする。公式サイトとは全く異なる入力フォームだけの簡素な偽サイトだが、9月には少しだけ手が加えられ、Googleアカウントとパスワード、電話番号の入力欄が追加されていた。

<アマゾン>
 フィッシング対策協議会の9月唯一の緊急情報となったアマゾンを装うフィッシングについては、月次報告の中で「9月はAmazonをかたるフィッシングサイトが引き続きみつかっております」と記されている。いつから引き続きなのか不明だが、今年2月に同協議会が緊急情報を出して以来毎月ということであれば、筆者の観測状況と一致する。
 アマゾンを装うフィッシングには、アカウントの更新などを促すメールで偽のログインページに誘導するタイプと、支払い方法の再登録を求めるSMSで偽のトップページに誘導するタイプがあり、9月はこの両方が観測された。どちらもログイン後にクレジットカード情報の入力を求めてくる。ログイン情報とアマゾンに登録したクレジットカード番号を渡してしまうと、アマゾンのアカウントが完全に乗っ取られてしまうので、注意していただきたい。アマゾンのアカウント乗っ取りは、自身が被害にあうだけでなく、他人のクレジットカードを勝手に登録して使用するという、犯罪ツールになってしまうこともある。

(2016/10/05 セキュリティ通信)

【関連URL】
・2016/09 フィッシング報告状況(フィッシング対策協議会)
http://www.antiphishing.jp/report/monthly/201609.html

【告知】
[2016/09/13]Amazon をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/amazon_20160913.html
[2016/09/19]IDとパスワードを詐取しようとするメールに関する注意喚起(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2016/09/20160919phising.html
[2016/09/20]「ガンホーゲームズ」を装う不審なメールにご注意ください!(ガンホーゲームズ)
http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage¬ice_id=4827
[2016/09/20]本学教職員を狙ったフィッシングメールにご注意ください(九州産業大学)http://www.cnc.kyusan-u.ac.jp/virus/002989.html
[2016/09/21]OCNのログイン画面を装うフィッシングサイトが観測されています(カスペルスキー)
https://twitter.com/kaspersky_japan/status/778496745382838272
[2016/09/22]本学教職員を狙ったフィッシングメールにご注意ください(九州産業大学)http://www.cnc.kyusan-u.ac.jp/virus/002993.html

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。