トレンドマイクロでは本日 1月12日の早朝に「ご注意!!OFFICE のプロダクトキーが不正コピーされています。」という件名のメールが大量拡散したことを確認しました。このメールは Office 製品のプロダクトキー侵害の名目でマイクロソフトを偽装したフィッシングサイトへ誘導し、最終的にマイクロソフトアカウントからクレジットカード情報まで詐取することを狙ったものです。
図1:今回確認されているフィッシングメールの例
今回確認されているフィッシングメールはトレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計によれば、この 1月12日早朝の数時間のみで日本国内で 1万件以上の拡散が確認されています。フィッシングメール内に表示されている差出人は「support@microsoft-securityprotection-support」の文字列を含むアドレスとなっており、マイクロソフトのサポートからのメールと誤解させることを狙ったものと考えられます。本文では「オフィスソフトのプロダクトキーが違法コピーされた可能性」の名目で受信者に「検証作業」を要求します。誤解した受信者がメール本文の「今すぐ認証」部分のリンクにアクセスすると、マイクロソフトの正規サイトに偽装したフィッシングサイトへ誘導されます。このフィッシングサイトの URL は差出人のメールアドレスのドメインと同一であり、受信者の誤解を誘うための一貫性が見られます。
図2:誘導されるフィッシングサイトの表示例
(トレンドマイクロにより画像の一部をマスク)
このフィッシングサイト上ではメール本文と同じ警告文がポップアップ表示され、さらに受信者をあおります。ページ内の「今すぐ認証」のリンクをクリックすると、マイクロソフトアカウントのサインイン画面を偽装したページが表示されます。当然この画面はマイクロソフトアカウントの詐取を狙う偽画面です。
図3:フィッシングサイト上の偽のサインイン画面例
サインインするとさらにアカウント認証のために必要、との名目で氏名や住所などの個人情報からクレジットカードの番号やセキュリティコードまでの入力を促されます。
図4:フィッシングサイト上の「お客様情報追加」画面例
ここまでの情報を入力すると「修復が完了しました」との表示があります。メールやサイトがマイクロソフトのものと誤解したままの利用者は正規の手続きのように感じ、だまされたことに気づかないかもしれません。
図5:フィッシングサイト上の「修復完了」画面例
この Webサイトでは日本国内からアクセスした場合のみ、このフィッシングサイトが表示される仕組みになっており、完全に日本国内の利用者を対象としたフィッシング攻撃ということができます。トレンドマイクロ SPN の機能である「Webレピュテーションサービス(WRS)」ではこのフィッシングサイトをメール拡散開始時点で既にブロック対応しており、12日午前中だけで日本から 3,000件以上のアクセスブロックを確認しています。このことからも、メールから誘導された受信者が少なからずいたことがわかります。
今回詐取対象となったマイクロソフトアカウントをはじめとして、Apple ID、Google アカウントのように、複数のサービスの利用に使用可能なアカウントの情報はサイバー犯罪者にとって利用価値が高く、継続的に狙われる情報となっています。現在のスパムメール攻撃では短時間で送信を終える手口が多いため、今回のフィッシングメールに関しても本校執筆時点(2017年1月12日15時)でさらなる拡散は見られていません。しかし同時にインターバルを置いて送信を繰り返す手口も多いため、今後も同様の手口のメールが拡散する可能性は高いものと考えられます。
■被害に遭わないためには
攻撃者は自身の攻撃を成功させるために常に攻撃手口を変化させていきます。今回お伝えした攻撃の内容は次回から全く異なるものになっているかもしれません。常に最新の脅威動向を知り、新たな手口に騙されないよう注意を払ってください。また、そもそも不審なメールを可能な限りフィルタリングし、手元に届かないようにする対策も重要です。メールなどから誘導される Webに関しては必ず URL のドメインを確認してください。
■トレンドマイクロの対策
今回の攻撃で確認されたフィッシングサイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。また、フィッシングメールについては、「E-mailレピュテーション(ERS)」技術で受信前にブロックします。「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などのメール対策製品では特にERS技術により危険な電子メールの着信をブロックします。
※調査協力:日本リージョナルトレンドラボ(RTL)