Information
SIPS Security Report

【配信日】 2020年10月12日

進化するフィッシングが猛威を振るう

個人情報を搾取する目的のフィッシングが猛威を振るっている。
フィッシングとは実際の組織やサービスと偽って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号などの個人情報を詐取する行為をいう。
一般的には、実在する会社やサービス名でmailやSMSが届き、あたかも問題が発生したかのような文面に加え、その本文内にURLが記載されていてアクセスを誘導する。

そのURLにアクセスすると、正規サイトと瓜二つの偽サイトが出てきて、情報を更新してくださいなどの内容で関連する個人情報を入力させる。
これが偽のサイトでありサイバー攻撃者の元に全ての情報が渡るというわけである。

以前、あるセキュリティ関係者が「メールアドレスはある意味公開されている情報だから情報が流出したとしても大きな問題にはならない」という事を言っていた人がいたが、これは間違いだと思う。
流出したメールアドレスに対してフィッシングメールを送ることもできる。また流出したメールアドレスから同ドメインのメールサーバに侵入できれば、なりすましのフィッシングメールを送ることもできる。
いつもメールをもらう相手からメールをもらい確認を促す内容でURLが記載されていれば、大抵の人は疑いもせずアクセスしてしまうであろう。

最近ではメールだけではなく、SNSによるメッセージや広告、Webサイトの広告などにもフィッシングが組込まれているケースが見つかっている。
例えば、仮に正規の「新型コロナウイルスに関連するサイト」や「Gotoキャンペーンに関連するサイト」があったとしよう。ハッカーは、このサイトが存在するサーバを調べ、ハッキングして管理者権限を奪えば、当該サイトを自由にコントロールすることができる。
そしてhtml上でアクセスしそうなリンク先URLをフィッシングサイトのURLに書き換えておけばよいのだ。
フィッシングURLは正規のリンク先に似せて情報を入力させるようにしておけばよいわけである。

最近では、メールやSMSだけでなく、このようにアクセス数の多いサイトにフィッシングの罠が設置されるケースも増えてきている。

盗まれた情報は不正利用されて金銭搾取に繋がるサイバー犯罪となる。
キャッシュレスペイや銀行の不正送金、クレジットカードの番号盗用などが正にそうである。

5月の読売新聞の愛知版のニュースに「ネット不正送金急増　４か月被害144件 過去の年間最多上回る」という記事があった。
これによると、インターネットバンキングで、口座から預金が不正に送金される被害が県内で急増とあり今年1～4月の被害は144件(計約6000万円)と、既に過去の年間最多件数を上回っているという。

これは愛知県に限られたことではないだろう。
フィッシングにより情報を入手すれば銀行口座にはなりすましてログインし任意の口座に送金できる。

日本でフィッシングに関する情報収集・提供、注意喚起等の活動をしている“フィッシング対策協議会”という組織があるが、同協議会によると2020年に入りフィッシングの報告件数は右肩上がりの増加で9月は28,575件報告されているという。

SIPSでは日々のレポートで新たな【Phishing Domain】及び【Phishing IP】の情報を提供している。
形式上各々20件の情報を提供しているが、実際にはその何十倍、何百倍もの数が存在している。

9月17日にフィッシング対策協議会から三井住友銀行のフィッシングサイトが確認されたという注意喚起がされている。
誘導されるフィッシングサイトは、三井住友カード会員向けのインターネットサービス「Vpass」 ログイン画面を装った偽サイトである。
しかし中国ブラックマーケットでは、その翌日9月18日には【三井住友銀行の口座情報を販売します】という掲示が出ていた。

SIPSではこの情報提供者にコンタクトしてみたところ、三井住友銀行の【フィッシングURL】とそのサイトで入手した【口座情報】を販売するという事だった。
フィッシングサイトで入手できる口座情報は毎日10件以上あるという。
更にフィッシングに利用するソースコードが別に存在していて、そのソースコードを利用すればIPアドレスやドメインを替えて無数に同様のフィッシングサイトが作成できるという。
そしてそのソースコードまで販売しているということだった。

しかも確認したURLにアクセスすると、フィッシング対策協議会が警告する三井住友カード会員向けのインターネットサービス「Vpass」ログイン画面、正にそのものであった。
注意喚起しているにも拘わらず、偽サイトからは毎日10件以上の情報が盗まれ、その情報は売買され不正送金、不正出金などの別のサイバー犯罪に利用されるのである。

フィッシング対策協議会によると現在このフィッシングサイト閉鎖のため、調査、準備中となっているが、サイバー攻撃者は当該URLを閉鎖されることは全く気にしてない。
むしろそれは想定内のことであり、また別のIPやドメインを使い同じようなフィッシングサイトを作り上げればいいだけの事である。
ソースコードを分析し根本的な対策を取らなければ延々とイタチごっこになってしまうということだ。

おそらく他のフィッシングサイトも同じような仕組みで作られ、いつまで経ってもフィッシングサイトは減ることがないのだと考えられる。
では、このようなフィッシングサイトを見破る方法はないのだろうか？

企業はセキュリティソリューションだけに頼るのではなく知恵を絞りたいところだ。

そうは言え、フィッシングは個人のセキュリティ意識が一番重要であり、安易なアクセスをしないように気を配ることが大切になる。
送信元やURLの確認は勿論だが「突然届くSMSは偽物」「パスワード入力を求められたら疑え」のような意識を常に持ち自らを守らなければならない。

過去1年で確認されているフィッシングメールのブランド名・企業名
▼日本郵便　▼三井住友銀行　▼CANON　▼宅配便　▼BTCBOX　▼セブン銀行　▼楽天　▼au　▼Amazon　▼エポスカード　▼メルカリ　
▼NTTドコモ　▼千葉銀行　▼ヨドバシカメラ　▼住友SBIネット銀行　▼MyJBC　▼LINE　▼アメリカンエクスプレスカード　▼PayPay
▼セゾンNetアンサー　▼ソフトバンク　▼ジャパンネット銀行　▼Yahoo ▼りそな銀行　▼みずほ銀行　▼三菱UFJ銀行　
▼全日空　▼マイクロソフト　▼イオンクレジット　▼Apple　▼One Drive　▼東京メトロ　▼PayPal　▼その他金融機関

　<参考URL>
INTERNET Watch：2020/9/17
三井住友カードをかたるフィッシングメールに注意、「Vpass」ログイン画面を偽装したサイトへ誘導
https://internet.watch.impress.co.jp/docs/news/1277772.html

読売新聞：2020/5/23
ネット不正送金急増　4ヶ月被害144件　過去の年間最多上回る
https://www.yomiuri.co.jp/local/aichi/news/20200522-OYTNT50103/

フィッシング対策協議会
https://www.antiphishing.jp/