モバイル利用者を狙うフィッシング詐欺事例:SMSでの誘導を確認
5月中旬より、ネットバンキングを狙うフィッシング詐欺の活発化を確認しており、5つの銀行を狙うフィッシングメールを観測しています。攻撃の中で、SMSを利用したフィッシング詐欺攻撃も確認しています。
トレンドマイクロでは5月中旬より、ネットバンキングを狙うフィッシング詐欺の活発化を確認しており、少なくとも5つの銀行を狙うフィッシングメールを観測しています。それらの攻撃の中で、これまで日本国内ではあまり例のない、「ショートメッセージサービス、またはテキストメッセージ(SMS)」を利用したフィッシング詐欺攻撃も確認しています。本記事では、この特にモバイル利用者を狙ったと考えられるSMSを利用した攻撃の手口について解説します。
SMSは携帯電話、スマートフォンで使用できる、短文のメッセージを交換できるサービスです。SMSでは文字数に制限があるなどの理由により、日本ではより自由度の高い「マルチメディアメッセージサービス、一般にいうキャリアメール(MMS)」や、インターネットの電子メールの使用が普及しました。しかし海外では、決済サービスに利用されるなどSMSの活用が盛んであり、それゆえにサイバー犯罪者による悪用事例も多く確認されています。SMSによるフィッシング詐欺を、海外では特に「SMShing(スミッシング)」と呼称していますが、今回の事例はまさに日本でのスミッシング事例と言えます。
今回の事例では、まずモバイル利用者の端末に以下のような本文のSMSが着信します。SMSの文字数制限で全体の文章が短いこともありますが、「パスワードが翌日に失効し、」の部分に日本語として若干の違和感があります。
注意:ダイレクトのパスワードが翌日に失効し、<銀行名>銀行のメンテナンスサイト<フィッシング詐欺サイトのURL>により、更新をお願いします。
SMSの受信者が本文中のURLにアクセスすると、国内銀行のフィッシング詐欺サイトに誘導されます。最初のURLにはアクセスしてきた環境を判別するスクリプトが含まれており、PCからのアクセスとスマートフォンからのアクセスでは異なるサイトへ誘導されます。
アクセス元がPCと判定された場合、以下のPC向けフィッシング詐欺サイトに誘導され、以下のログイン画面が表示されます。
アクセス元がスマートフォンと判定された場合、以下のモバイル端末向けフィッシング詐欺サイトへ誘導されます。
スマートフォンの画面で、ログインボタンをタッチすると以下のログイン画面が表示されます。PC版ではフィッシング詐欺サイトに誘導後、直接ログイン画面が表示されますが、モバイル版の場合はワンステップ入ることになります。ログイン後の処理では住所などの入力も求められます。
利用者が入力を完了すると以下のバージョンアップ画面が表示されます。この時点ですでに入力した情報はサイバー犯罪者の手にわたっています。
この事例で最終的に誘導されるフィッシング詐欺サイトとして、トレンドマイクロでは複数のドメインを確認しています。トレンドマイクロの観測では、5月18日から28日の10日間に10以上のドメインを新たに確認しており、類似するモバイルフィッシング詐欺サイトは増加を続けています。
また、これらのフィッシング詐欺サイトの中には「ピュニコード(Punycode)」を使用し、日本語でのURL表示を試みているサイトがあることも確認しました。Punycodeとは、Unicodeで書かれた文字列を符号化によってURLでも使えるようにするための方式です。確認したURLは「xn--www-kc4bukod1a7hvaq5wuhc26142a」という文字列が含まれているものですが、この部分はブラウザ上では日本語に変換されて表示されます。
今回確認した日本語URLでは「行のメンテナンスサイト」という表示がURLの最初に見られます。これはSMSの本文にもある「銀行のメンテナンスサイト」と表示させようとしたものが、なんらかのミスなどにより「銀」の字が欠けたものと推測されます。
このように今回のフィッシング詐欺事例は、SMSを使用する、URLの日本語表示を取り入れる、など日本を狙う攻撃として新たな手法を試したと言える攻撃になっています。国内のフィッシング詐欺状況として、この5月に確認されている複数の事例では攻撃対象に決まった傾向は無く、広く複数の銀行が狙われる傾向が見られています。
フィッシング詐欺の攻撃は2014年1年間を通じて急増し、この2015年にもその傾向は継続しています。
第1四半期である1~3月には、ネットショッピングサイトやオンラインゲームを狙う攻撃が活発化しており、金融・信販を狙うフィッシング詐欺の被害は相対的に少ない状況でした。しかし、5月中旬以降また金融・信販を狙う攻撃が活発化を見せています。特にこの5月に確認されている複数の事例では攻撃対象となる金融機関に決まった傾向は無く、広く複数の銀行が狙われる傾向が見られています。サイバー犯罪者は今後も攻撃の成果拡大を狙い、インターネット利用者を騙す新たな手口を講じてくるでしょう。
被害に遭わないために
サイバー犯罪者はネット上で入力される認証情報を狙って次々と新しい手口を繰り出しています。これに対し、利用者はフィッシング詐欺の最新手口を知り、騙されないようにする必要があります。各銀行ではフィッシング詐欺をはじめ、利用者の情報を盗み取ろうとする様々な企みに対し、注意喚起を出しています。自身が使用している銀行からの注意喚起を参考にしてください。また、サイバー空間で個人情報や決済情報、ネットバンキングの認証情報などの大切な情報を入力するときには、最後にもう一度立ち止まって考える習慣を身につけるべきです。もちろん、心がけだけでは見抜けない巧妙な手口も増えているため、セキュリティ対策製品を導入して守ることも必要です。
トレンドマイクロのソリューション
今回の記事で触れたフィッシング詐欺サイトについてはフィッシング対策協議会へ通報を行い、テイクダウンなどの根本解決に向けた対応を行っています。また、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Webレピュテーション(WRS)」技術により、アクセスブロックに対応しています。
モバイル環境でのフィッシング詐欺対策として、個人利用者用モバイル環境向けセキュリティ対策製品である「ウイルスバスターモバイル」ではWRSによる不正サイトのアクセスブロックと不正なSMSのブロックに対応しています。法人利用者用モバイル環境向けセキュリティ対策製品である「Trend Micro Mobile Security」ではWRSによる不正サイトのアクセスブロックに対応しています。
※リサーチ協力:林憲明(シニアスレットリサーチャー)