フィッシング対策協議会は5月20日、「Carview（カービュー）」を騙って偽サイトに誘導しようとするフィッシングメールを確認したとして注意喚起を発表しています。

　報告によれば、攻撃はフィッシングメールを端に発するもので、巧みなうたい文句でフィッシングサイトへ誘導しようと試みています。

図1. 「Carview（カービュー）」に見せかけた偽サイト。ユーザ名やパスワードを入力させようとする。

　フィッシングサイト「http://olympic.＜省略＞.ca/~aatomobi/used_car/304819200192211/」はCarview（カービュー）のデザインを完全にコピーしており、ページ中のいくつかのリンクは正規サイトへとつながっています。このため、見た目だけでの真偽の判断は困難といえます。また、フィッシングサイトのIPアドレス（69.90.{BLOCKED}.{BLOCKED}）から、割当国がカナダであることが特定されています。

フィッシングサイト情報

　トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」では、「Webレピュテーション」技術により、いち早くその危険性を分析し、フィッシングサイトとしての分類を終えています。これにより、該当サイトに対する接続が行われた場合には接続をブロックする機能を提供しています。

図2. 「Trend プロテクト」により、接続がブロックされているフィッシングサイト。「Webレピュテーション」を使用すると、危険なWebサイトへのアクセスをブロックできます。ユーザがWebサイトへの接続する際、まず評価サーバにそのWebサイトの評価値を問い合わせます。

　フィッシングサイトは日本時間の5月21日11時30分現在、既に閉鎖されています（JPCERT/CCの報告によれば、日本時間の5月20日15時30分まで開設していたことが確認されています）。

図3. フィッシングサイトは閉鎖され、「Account Suspended」ページ差し替えられている。

　しかしながら、同様のサイトが別のサーバに設置されるなど、脅威はさらに広がる可能性も考えられます。、Carview（カービュー）を利用されている方は十分な警戒が必要といえそうです。また、フィッシングサイト開設期間中にCarview（カービュー）を利用された方は、パスワード変更を検討されることをお勧めします。

　今回は、Carview（カービュー）のフィッシング被害に関して、ソーシャルエンジニアリング手法の一般的類型から分析してみたいと思います。

ソーシャルエンジニアリング手法類型評価

　「フィッシングメールかな？」と思うような事例があった際には、是非この類型を思い出し、そのメールを見つめなおしてください。

　なお、「Carview（カービュー）」の運営元である「tradecarview.com」では、過去のフィッシングサイト被害における不正メールの送信元アドレス情報（英語情報）を公開しています。こうした各事業者が発表するニュースリリースを確認しておくことも有効な対策の一つといえます。

「tradecarview.com」によるフィッシングサイトに関するニュースリリース