PlayOnlineをかたる偽サイト(フィッシング)が出現

 トレンドマイクロでは、「PlayOnline(プレイオンライン)」の管理者(Game Master、ゲームマスター)を装い偽サイト(フィッシングサイト)へ誘導する攻撃を確認しました。ここにその詳細について紹介します。

 PlayOnlineは、「スクウェア・エニックス(SQUARE ENIX CO., LTD.)」が提供するネットワークサービスです。今回確認された脅威は、同サービスにおいて提供されているゲーム「ファイナルファンタジーXI」のユーザを狙ったものでした。

 「ファイナルファンタジーXI」では、ゲーム内でメッセージをやり取りできるチャット機能で、「Tell」と呼ばれるコマンドが提供されています。今回、悪意ある攻撃者はこのコマンドを悪用し、管理者(Game Master)になりすました上で、次のようなメッセージを送り、ユーザを偽サイトへと誘導する活動が確認されています。

8周年お祝いかつどうはひらき、 www.ffxi<省略>.com で贈り物の包みを受け取ってください

ご当選おめでとうございます。あなたはFFXI抽選イベントで当選されました www.ffxi<省略>.com にご登録し、商品を受け取ってください。

 メッセージは不自然な日本語であることから、違和感を覚える可能性もあります。

正規の「PlayOnline」 偽の「PlayOnline」
正規の「PlayOnline」
偽の「PlayOnline」
図1:正規サイト「https://secure.square-enix.com/
cisweb/app」		 図2:偽サイト「http://www.ffxi<省略>.com」

 メッセージにより誘導される偽サイトと正規サイトを比較しながら分析します。

 誘導メッセージが日本語であるにもかかわらず、誘導先のWebサイトは英語で表記されています。多くの日本人はこの時点で異変に気付くと思われます。しかしながら、外観は完全に模倣されており、見た目だけでの判断は危険といえるでしょう。更にスタイルシートやスクリプトファイルは正規サイトから呼び出されていることを確認しています。このため、セキュリティ対策として用意されている「ソフトウェアキーボード」さえも偽サイト上で正常に動作します。

 今回の事例では、URLが偽サイトであることの決定的な判断基準となりえます。

正規サイト https://secure.square-enix.com/cisweb/app
偽サイト http://www.ffxi<省略>.com

 URLの先頭文字に注目すると、正規サイトは「https://」であるのに対し、偽サイトでは「 http:// 」でした。正規サイトではExtended Validation SSL(EV SSL)証明書が使用されているため、ブラウザの機能により簡単に正規サイトであるかを判断できます。

図3. Internet Explorer 8にて、正規サイトへ接続
図3:Internet Explorer 8にて、正規サイトへ接続

図4. Firefox 3.6にて、正規サイトへ接続
図4:Firefox 3.6にて、正規サイトへ接続

 EV SSL証明書に対応したブラウザであれば、上記のようにWebサイトを運営する組織名と、その証明書を発行した認証局名が表示され、アドレスバーが緑色で表示されます。視覚的にも正規サイトであると判断しやすくなるのではないでしょうか。

 偽サイトのドメイン名からIPアドレスを割り出し、同一サーバ上に設置されている他のコンテンツについてもチェックしてみました。結果、偽の「FINAL FANTASY XI Official Web Site」が設置されていることを確認しました。

正規の「FINAL FANTASY XI Official Web Site」 偽の「FINAL FANTASY XI Official Web Site」
図5. 正規の「PlayOnline」
図6. 偽の「PlayOnline」
図5:正規サイト「http://www.playonline.com/
ff11us/index.shtml」		 図6:偽サイト「http://www.<省略>-square-enix.com」

 偽サイトには「News Flash」に8周年の記念品を受け取るための方法が掲載されています。

フィッシングサイト情報

偽サイトURL http://www.ffxi<省略>.com
http://www.<省略>-square-enix.com
IPアドレス 66.79.<省略>.<省略>
所在地 United States

 2010/08/09 15:00 現在、確認されていたフィッシングサイトは既に閉鎖されています。しかしながら、同様の手口によりチャット機能「Tell」を使ったフィッシングサイトへの誘導活動が再開する恐れもあります。十分に注意してください。

 トレンドマイクロでは、こうしたフィッシングの脅威に対し、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の、「Webレピュテーション」技術により、いち早くその危険性を分析し、「Phishing」サイトとしての分類を終えており、該当サイトへの接続が行われた場合には接続をブロックする機能を提供しています。

図7:「Trend プロテクト」により、接続がブロックされているフィッシングサイト
図7. 「Trend プロテクト」により、接続がブロックされているフィッシングサイト。「Webレピュテーション」を使用すると、危険なWebサイトへのアクセスをブロックできます。ユーザがWebサイトへの接続する際、まず評価サーバにそのWebサイトの評価値を問い合わせます。

 また、トレンドマイクロは「フィッシング対策協議会」の会員として、メンバー間での脅威情報の共有、注意喚起に対する協力など引き続きのインシデントレスポンス活動を継続していきます。

参考情報

  • フィッシング対策協議会:PlayOnline(プレイオンライン)を騙るフィッシング(2010/08/09)
  • ファイナルファンタジーXI 公式サイト:不正アクセス対策に関して
  • ファイナルファンタジーXI 公式サイト:GMコールで多数寄せられているお問い合わせについて

    Related posts:

    1. Yahoo!オークションをかたる偽サイト(フィッシング)が出現
    2. 著名商号に装って商いする闇金業者サイト
    3. 実録・Facebookアカウント乗っ取り被害:覚えのないメッセージが友人へ
    4. 繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導