2017年1月に報告したマイクロソフトアカウントを狙うフィッシング詐欺事例のように、Google アカウント、Apple ID、Yahoo! アカウントといった複数のクラウドサービスの使用に利用可能なマルチサービスアカウントの詐取を狙う攻撃が目立ってきています。トレンドマイクロではそのようなフィッシングサイトの事例として、「Google Play」を偽装し、Google アカウントの詐取を狙う日本語フィッシングサイトを確認しました。このフィッシングサイトに関しては特に大規模な誘導は確認されていませんが、携帯電話のテキストメッセージ(ショートメッセージサービス、SMS)による誘導も確認されており、特徴的な事例であるため情報共有いたします。
図1:「Google Play」を偽装した日本語フィッシングサイトの例
今回確認されているフィッシングサイトは 1月中旬から稼働が確認されています。誘導経路としては、携帯電話のテキストメッセージ(ショートメッセージ、SMS)によるフィッシングメールが確認されています。フィッシングサイトへの誘導をSMSにより行う手口は「スミッシング(SMS+Phishing)」とも呼ばれており、2015年6月のブログ記事でも初期の国内事例を取り上げています。スミッシングは SMS を使用することから明確にモバイル利用者を狙った攻撃と言えます。今回のフィッシング事例においても、Google Play を偽装することはモバイル利用者をターゲットとしていることと符合するものと言えるでしょう。このようなスミッシングを伴う Google Play のフィッシングサイトは既に 2016年7月前後から確認されており、断続的に攻撃が継続しているものと考えられます。
図2:SMS によるフィッシングサイトへの誘導メッセージ例
URL を開くと、直接図1のフィッシングサイトが表示される
今回確認されたフィッシングサイトは海外のホスティング業者が管理するサーバ上に構築されていました。海外のサイバー犯罪者においては正規ホスティング業者の提供するサーバの「無料試用期間」を悪用し、使い捨ての不正サイトとして利用する手口が確認されています。そのため、1つのサーバ上に異なった複数種類の詐欺サイトのコンテンツが保存されている、というようなこともよくあります。またこのフィッシングサイトでは、1つのドメイン名でサブドメインとパスの組み合わせで複数の URL のバリエーションを作り出す手口を使っていました。例えば、「sample.com」というドメインに対し、「a1.sample.com/b」、「cd.sample.com/de」、「f.sample.com/gh」というようにサブドメインとパスを使ってフィッシングサイトをホストする URLを複数作成します。この手口はフィッシングサイトだけでなく、脆弱性攻撃サイト(EKサイト)など不正プログラム拡散目的の不正サイトや、正規サイトの改ざんの際にも使用される典型的な手口です。これは、当初使用していた URL がセキュリティベンダーにより対策されても新たな URL によりブロックを回避するなどの目的があります。
■被害に遭わないためには
今回詐取対象となった Google アカウントのように、複数のサービス利用で認証として使用されるアカウントの情報はサイバー犯罪者にとって利用価値が高く、継続的に狙われる情報となっています。Google アカウントだけでなく、Apple ID、Yahoo! アカウント、マイクロソフトアカウント、Amazon アカウントなどの事業者を偽装し、情報の詐取を狙う手口に注意してください。サイバー犯罪者は成功率を高めるため、常に攻撃手口を変化させていきます。今回お伝えした攻撃の内容は、次回から全く異なるものになっているかもしれません。常に最新の脅威動向を知り、新たな手口に騙されないよう注意を払ってください。また、メールや SMS、各種ダイレクトメッセージなどから誘導される Web に関しては、必ず URL のドメインを確認してください。
■トレンドマイクロの対策
今回の攻撃で確認されたフィッシングサイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security」、「Cloud Edge」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。
※調査協力:林 憲明(シニアスレットリサーチャー)、日本リージョナルトレンドラボ(RTL)