So-net無料ブログ作成
  • ブログをはじめる
  • ログイン

フィッシング多発、アカウント不正利用で「キャリア決済」被害相次ぐ [フィッシング]

 宅配便の不在通知を装うSMSなどで誘導し、怪しいAndroidアプリをインストールさせる攻撃を仕掛けていたグループが、先週末からフィッシングを仕掛け始めた。携帯キャリアをかたるフィッシングに騙され、ケータイ決済で身に覚えのないゲーム課金が行われる被害も起きている。

 昨年末から先月にかけ、佐川急便やアマゾン、楽天カードをかたるSMSやメールで偽サイトへと誘導し、不正なAndroidアプリをインストールさせようとする攻撃が多発した(文末「関連記事」参照)。一連の攻撃を仕掛けていたグループが、今度はフィッシングを始めたようだ。先週末の金・土・日曜日には三菱UFJニコスのクレジットカード情報を狙うフィッシングメールが、日・月曜日にはNTTドコモのdアカウントを狙うフィッシングメールがばらまかれた。三菱UFJニコスのフィッシングサイトは、週明け早々に閉鎖されたが、NTTドコモの方は、2月6日15時現在も現在も稼働中だ。

■三菱クレジットカードを名乗るフィッシング――「名指し」が特徴

 「【重要】三菱クレジットカードから緊急のご連絡」という件名のメールが、1月28日頃にばらまかれた。残念ながら誘導先を確認できなかったが、同じ件名と内容のメールが先週末からまたばらまかれた。新たに「 [重要※緊急] 三菱クレジットカードから緊急のご連絡」という件名のものも見つかっている。

 差出人を「いろいろな名前@mufgcard.com」と三菱UFJニコス(MUFGカード)のメールアドレスに偽装したこのメールの特徴は、冒頭に「●●●●様」と氏名が入って送られている点だ。名指しのフィッシングメールは、昨年末から何度か見つかっており、不正アクセスで流出した会員情報がフィッシングメールに悪用されたとの報告もある。本件の場合は、そうした流出情報の悪用に加え、ばらまいていた不正なAndroidアプリに、スマホのアドレス帳を盗ませた可能性も考えられる。

 メール文面は不自然さのない日本語で、不正ログインされたのでパスワードをリセットしたとして、「ユーザIDの確認パスワードの設定ページ」で手続きするよう促す。リンクには、英数字を組み合わせたいろいろなパターンの.infoドメインのURLがそのまま記載されており、クリックすると、別のサーバーに設置した、同社の会員登録ページそっくりに作られた偽サイトを表示する。同社は複数のブランドを扱っており、偽サイトも本物と同じように、ブランドを選択し、それぞれのブランド用の登録ページへと進む。そこで、クレジットカード情報や個人情報などを入力させて騙し取り、本物のサイトに飛ばす仕掛けだ。

 このフィッシングは、5日に誘導先が閉鎖され終了したが、再攻撃を警戒したい。差出人を偽装した出来の良い日本語のメールではあったが、次のような不審点があった。
 ・「三菱クレジットカード」という名称
 ・公式とは無関係なリンク先
 ・会員登録ページがHTTPS接続の暗号化通信ではない

■NTTドコモを装うフィッシング――身に覚えのない決済報告相次ぐ

 三菱クレジットカードを名乗るフィッシングメールをNTTドコモに書き換えた「【重要】株式会社NTTドコモから緊急のご連絡」という件名のメールが、この日・月曜日にばらまかれた。差出人を「株式会社NTTドコモ」に偽装し、ほぼ同じ文面で「NTTドコモIDの確認パスワードの設定ページ」で手続きするよう促す。リンクには、「security-docomo」の文字列を使った紛らわしいドメインのURLがそのまま記載されており、同社の会員サービス「dアカウント」のログインページそっくりに作られた偽サイトを開く。

 dアカウントは、同社のサービス全般を利用するためのアカウントで、ドコモ回線の各種設定や手続きなどにも使う重要なもの。同社のキャリア決済「ケータイ払い」も含まれる。キャリア決済は、各社が提供している月々の電話料金と一緒に支払いができるサービスのこと。対応サイトでは、クレジットカードと同じように支払いに利用できる。ネット上では、フィッシングメールがばらまかれた直後から、覚えのないケータイ払いの報告が相次いでおり、直前に偽サイトにログインしたとの書き込みもある。

 dアカウントは、その都度生成する暗証番号を入力させ、パスワードだけでは不正ログインが行えないよう保護する2段階認証を提供しているが、この偽サイトは裏で公式サイトを操作する中間者攻撃を仕掛けているらしく、パスワード認証に続き、2段階認証も求めて来た。中間者攻撃が行われると、2段階認証も突破されてしまうので、くれぐれも注意していただきたい。差出人を偽装した出来の良い日本語メールだが、次の点に注意すれば偽物に気付けるだろう
 ・差出人のメールアドレスが「support-rakuten-cards.com」ドメイン
 ・公式とは異なるリンク先
 ・ログインページがHTTPS接続の暗号化通信ではない

 差出人メールアドレスの「support-rakuten-cards.com」は、楽天カードを装う不正なAndroidアプリのキャンペーンで使われたドメインのひとつだ。同じドメインを差出人に使用した、「MySoftBank」のフィッシングメールもばらまかれたとの情報もある。被害状況は不明だが、「my-softbank」の文字列を使った紛らわしいドメインの偽サイトは、現在も稼働中だ。

(2018/02/06 セキュリティ通信)

【関連URL】
・三菱 UFJ ニコスをかたるフィッシング (2018/02/05)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/mufgnicoscard_20180205.html
・NTTドコモのdアカウントログイン画面を模倣したウェブサイトにご注意ください(NTTドコモ)
https://id.smt.docomo.ne.jp/src/utility/notice_trouble20180205.html

【関連記事:セキュリティ通信】
・宅配便の不在通知を装うSMSに注意、誘導先に怪しいアプリ
http://security-t.blog.so-net.ne.jp/2018-01-19