情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年10月12日号
***************************************************************
進化するフィッシングが猛威を振るう
***************************************************************
個人情報を搾取する目的のフィッシングが猛威を振るっている。
フィッシングとは実際の組織やサービスと偽って、ユーザネーム、パスワード、アカウントID、ATMの暗証
番号、クレジットカード番号などの個人情報を詐取する行為をいう。
一般的には、実在する会社やサービス名でmailやSMSが届き、あたかも問題が発生したかのような
文面に加え、その本文内にURLが記載されていてアクセスを誘導する。
そのURLにアクセスすると、正規サイトと瓜二つの偽サイトが出てきて、情報を更新してくださいなどの
内容で関連する個人情報を入力させる。
これが偽のサイトでありサイバー攻撃者の元に全ての情報が渡るというわけである。
以前、あるセキュリティ関係者が「メールアドレスはある意味公開されている情報だから情報が流出した
としても大きな問題にはならない」という事を言っていた人がいたが、これは間違いだと思う。
流出したメールアドレスに対してフィッシングメールを送ることもできる。また流出したメールアドレスから
同ドメインのメールサーバに侵入できれば、なりすましのフィッシングメールを送ることもできる。
いつもメールをもらう相手からメールをもらい確認を促す内容でURLが記載されていれば、大抵の人は
疑いもせずアクセスしてしまうであろう。
最近ではメールだけではなく、SNSによるメッセージや広告、Webサイトの広告などにもフィッシングが
組込まれているケースが見つかっている。
例えば、仮に正規の「新型コロナウイルスに関連するサイト」や「Gotoキャンペーンに関連するサイト」
があったとしよう。ハッカーは、このサイトが存在するサーバを調べ、ハッキングして管理者権限を奪えば、
当該サイトを自由にコントロールすることができる。
そしてhtml上でアクセスしそうなリンク先URLをフィッシングサイトのURLに書き換えておけばよいのだ。
フィッシングURLは正規のリンク先に似せて情報を入力させるようにしておけばよいわけである。
最近では、メールやSMSだけでなく、このようにアクセス数の多いサイトにフィッシングの罠が設置される
ケースも増えてきている。
盗まれた情報は不正利用されて金銭搾取に繋がるサイバー犯罪となる。
キャッシュレスペイや銀行の不正送金、クレジットカードの番号盗用などが正にそうである。
5月の読売新聞の愛知版のニュースに「ネット不正送金急増 4か月被害144件
過去の年間
最多上回る」という記事があった。
これによると、インターネットバンキングで、口座から預金が不正に送金される被害が県内で急増とあり
今年1~4月の被害は144件(計約6000万円)と、既に過去の年間最多件数を上回っているという。
これは愛知県に限られたことではないだろう。
フィッシングにより情報を入手すれば銀行口座にはなりすましてログインし任意の口座に送金できる。
日本でフィッシングに関する情報収集・提供、注意喚起等の活動をしている“フィッシング対策協議会”
という組織があるが、同協議会によると2020年に入りフィッシングの報告件数は右肩上がりの増加で
9月は28,575件報告されているという。
SIPSでは日々のレポートで新たな【Phishing Domain】及び【Phishing
IP】の情報を提供している。
形式上各々20件の情報を提供しているが、実際にはその何十倍、何百倍もの数が存在している。
9月17日にフィッシング対策協議会から三井住友銀行のフィッシングサイトが確認されたという注意喚起
がされている。
誘導されるフィッシングサイトは、三井住友カード会員向けのインターネットサービス「Vpass」
ログイン
画面を装った偽サイトである。
しかし中国ブラックマーケットでは、その翌日9月18日には【三井住友銀行の口座情報を販売します】
という掲示が出ていた。
SIPSではこの情報提供者にコンタクトしてみたところ、三井住友銀行の【フィッシングURL】とそのサイト
で入手した【口座情報】を販売するという事だった。
フィッシングサイトで入手できる口座情報は毎日10件以上あるという。
更にフィッシングに利用するソースコードが別に存在していて、そのソースコードを利用すればIPアドレスや
ドメインを替えて無数に同様のフィッシングサイトが作成できるという。
そしてそのソースコードまで販売しているということだった。
しかも確認したURLにアクセスすると、フィッシング対策協議会が警告する三井住友カード会員向けの
インターネットサービス「Vpass」ログイン画面、正にそのものであった。
注意喚起しているにも拘わらず、偽サイトからは毎日10件以上の情報が盗まれ、その情報は売買され
不正送金、不正出金などの別のサイバー犯罪に利用されるのである。
フィッシング対策協議会によると現在このフィッシングサイト閉鎖のため、調査、準備中となっているが、
サイバー攻撃者は当該URLを閉鎖されることは全く気にしてない。
むしろそれは想定内のことであり、また別のIPやドメインを使い同じようなフィッシングサイトを作り上げれば
いいだけの事である。
ソースコードを分析し根本的な対策を取らなければ延々とイタチごっこになってしまうということだ。
おそらく他のフィッシングサイトも同じような仕組みで作られ、いつまで経ってもフィッシングサイトは減ることが
ないのだと考えられる。
では、このようなフィッシングサイトを見破る方法はないのだろうか?
隣国の韓国では最初に正規サイトで個人情報の登録をする際に、登録する項目以外に登録者
本人が選択する色とマークデザインがあり、以降そのサイトにアクセスすると、その選択した色とデザイン
が表示されるようになる。
表示されなければ偽サイトであるという事になり、これにより被害は大幅に縮小したという事だ。
このようにサイトにちょっとした工夫を加えることだけでもフィッシングを縮小していくことができる。
企業はセキュリティソリューションだけに頼るのではなく知恵を絞りたいところだ。
そうは言え、フィッシングは個人のセキュリティ意識が一番重要であり、安易なアクセスをしないように
気を配ることが大切になる。
送信元やURLの確認は勿論だが「突然届くSMSは偽物」「パスワード入力を求められたら疑え」
のような意識を常に持ち自らを守らなければならない。
---------------------------------------------------------------------------------
過去1年で確認されているフィッシング
▼日本郵便 ▼三井住友銀行 ▼CANON ▼宅配便 ▼BTCBOX ▼セブン銀行 ▼楽天
▼au ▼Amazon ▼エポスカード ▼メルカリ ▼NTTドコモ ▼千葉銀行 ▼ヨドバシカメラ
▼住友SBIネット銀行 ▼MyJBC ▼LINE ▼アメリカンエクスプレスカード ▼PayPay
▼セゾンNetアンサー ▼ソフトバンク ▼ジャパンネット銀行 ▼Yahoo
▼りそな銀行 ▼みずほ銀行
▼三菱UFJ銀行 ▼全日空 ▼マイクロソフト ▼イオンクレジット ▼Apple ▼One
Drive
▼東京メトロ ▼PayPal ▼その他金融機関
---------------------------------------------------------------------------------
<参考URL>
INTERNET
Watch:2020/9/17
三井住友カードをかたるフィッシングメールに注意、「Vpass」ログイン画面を偽装したサイトへ誘導
https://internet.watch.impress.co.jp/docs/news/1277772.html
読売新聞:2020/5/23
ネット不正送金急増 4ヶ月被害144件 過去の年間最多上回る
https://www.yomiuri.co.jp/local/aichi/news/20200522-OYTNT50103/
フィッシング対策協議会
https://www.antiphishing.jp/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved