フィッシング
トレンドマイクロを偽装するフィッシング攻撃を海外で確認
トレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。
トレンドマイクロでは、弊社の「Customer Licensing Portal」サイトを偽装するフィッシングサイトと誘導のためのフィッシングメールを確認しました。現在のところ、攻撃で使用される言語としては英語のみを確認しており、日本国内の利用者を対象としたものとは言えません。ただし、このような攻撃は繰り返されたり対象を拡大したりする可能性があるため、本記事を以て注意喚起いたします。今回確認したフィッシング攻撃で使われたフィッシングメール、フィッシングサイトに関しては、既に登場直後から弊社製品の対策機能にてブロックに対応しておりますのでご安心ください。
図1:今回確認されたフィッシングメールの例
図2:今回確認されたフィッシングサイトの例
確認できたフィッシングメールの件名(Subject:)はすべて「Mailbox <受信者のメールアドレス> have a pending notification」でした。送信者(From:)は「adm@<受信者のメールドメイン>」で、表示名に「Trend Micro」と設定されており、受信者の誤解を誘うものとなっています。
図3:今回確認されたフィッシングメールの送信者アドレスと件名の表示例
フィッシングメールはHTML形式になっており、本文中の「Click here now」のリンクをクリックするとフィッシングサイトへ誘導されます。フィッシングサイトは弊社正規サイトを模倣しており、ページデザインなどの表示上で相違を見つけることは困難と言えます。ただし、URLは当然トレンドマイクロのドメイン(trendmicro.com)ではありませんので、ブラウザのURL表示を確認することで判別可能です。 フィッシングサイト上ではメールアドレスとパスワードを入力させた後、トレンドマイクロの正規サイトへ遷移します。その裏で利用者が入力した情報は、サイバー犯罪者のものと考えられる特定のフリーメールアドレスに送信されます。このようにフィッシングサイトから最終的に正規サイトへ遷移する手口は、利用者に不審を感じさせないための常套手段と言えます。ただし、このフィッシングサイト自体は作りが甘く、何の情報も入力せずに「Sign In」のボタンを押しても正規サイトへ遷移します。 このようなWebサービスのアカウントとパスワードの組み合わせを狙うサイバー犯罪者の攻撃は顕著になっています。認証情報を詐取したWebサービス自体への不正ログインはもちろん、他のサービスへのアカウントリスト攻撃(リスト型アカウントハッキング)や転売など、いったん流出した情報はリスト化され、何度も別の攻撃に再利用される危険性があります。
■被害に遭わないためには
利用者を騙す攻撃の中で、実在の企業を偽装する、セキュリティの不安を煽る、などの手口は以前から常套手段化しています。本ブログでも2007年、2009年、2013年、2014年、2019年とトレンドマイクロを偽装する迷惑メールなどの手口を報告しています。電子メールの送信者(From:)情報は偽装が可能なため、送信者のメールアドレスが正しいように見えても、攻撃メールの可能性があります。メールから誘導される先のURLに注意し、正規のURLと異なる場合にはアクセスを控えてください。
■トレンドマイクロの提供する対策
今回確認されたフィッシングメールは、トレンドマイクロ製品のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である、「E-mailレピュテーション(ERS)」技術によりブロックされます。またフィッシングサイトについては「Webレピュテーション(WRS)」技術により、Web サイトへのアクセスをブロックします。 また、トレンドマイクロ製品ではWebフィルタリング技術で表示カテゴリの制限を行うことによって、業務上などで不要な種類のWebサイトを閲覧ブロックできます。