フィッシングや「Blackhole Exploit Kit」による攻撃が休暇時期に大量発生

特に休暇シーズン中にオンラインショッピングをする一番の理由は、その「手軽さ」にあるといえるでしょう。しかしオンラインショッピングは、手軽にできる一方、情報窃取を可能にするフィッシング攻撃をサイバー犯罪者は容易に仕掛けることができるため、ユーザのログイン情報や個人情報が危険にさらされることとなります。

「TrendLabs（トレンドラボ）」では、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」およびその他の独自ツールを用い、2012年12月に最も多く作成されたフィッシングサイトを特定しました。以下の図1は、作成された「なりすまし」Webサイトを50の人気ブランド名に限定し、それをグラフにしたものです。

図1：偽装された金融、Webメールおよびオンラインショッピングの Webサイト上位50

トレンドラボが収集した情報によると、1万8947件のなりすまし Webサイトが作成されたオンライン決済サービス「PayPal」が、最も狙われた機関となり、その後に米国の銀行「Wells Fargo」が続いていることがわかりました。偽装された PayPal の Webサイトを訪問するように促されたユーザのコンピュータは、「TROJ_QHOST.EQ」に感染してしまう可能性があります。現在、この不正プログラムは、台湾、タイおよび米国からコンピュータに侵入しています。以下の表からもわかるように、トップ10に入るなりすまし Webサイトのほとんどは、銀行や有名なクレジットカード会社を装ったものになります。

企業名／Webサイト	作成されたフィッシングサイト数
PayPal	18947
Wells Fargo	2049
Visa	1661
Citibank	1628
Bank of America	1477
Mastercard	986
Chase	656
Bancolombia	369
Natwest	324
Cielo	310

また、米国の銀行「Citibank」も、最も偽装された機関の1つであり、おそらく攻撃ツール「Blackhole Exploit Kit」の一連の活動で利用されたと考えられます。Blackhole Exploit Kit を利用した攻撃では、ユーザがスパムメールを開き、本文中に含まれる不正な URL をクリックすることを促すために、Citibank といった有名な企業を利用することで知られています。

Citibank を装った Blackhole Exploit Kit の一連の活動では、オンライン銀行の認証情報といった個人情報を収集することで知られる「WORM_CRIDEX.CTS」をユーザにダウンロードさせるものもあります。トレンドラボは、「Trend Micro Smart Protection Network」を用いてこのワームに感染した277台のコンピュータを特定しており、これらの感染コンピュータの内、実に88％が米国に存在するコンピュータでした。

さらに、トレンドラボは、2012年12月だけでも Citibank に対する Blackhole Exploit Kit の一連の活動を4件確認しています。トレンドラボが最後に確認した活動では、ユーザのコンピュータ内に「TROJ_CDOWN.A」、「SWF_BLACOLE.BBB」、「JAVA_DLOADR.XM」および「WORM_CRIDEX.EZ」がそれぞれ感染していることが明らかになっています。「JAVA_DLOADR.XM」として検出されるJARファイルは、3,095件に上り、主に米国（50％）と日本（10％）のユーザに影響を与えています。

また、オンラインショップやオークション、共同購入型クーポンのWebサイトのうち、最も多く作成されたフィッシングサイトは、「Taobao」、「eBay」、「Amazon」および「Alibaba」です。中国を拠点とする Webサイト Taobao は、電子商取引（eコマース）サイトの中でなりすましサイトやフィッシングサイトが最も多く作成された Webサイトとなりました。

企業名／Webサイト	作成されたフィッシングサイト数
Taobao	1691
eBay	504
Amazon.com	251
Alibaba	150
Littlewoods	39

トレンドラボの調査では、モバイル端末ユーザおよび世界中のユーザへの以下のような攻撃も確認しています。

日本のユーザを対象とする「マスターカード」に偽装した一連のフィッシング詐欺が継続中です（図2参照）。マスターカードのなりすましサイト986のうち、72％に相当する717のWebサイトは、日本のユーザ向けに設計されていました。2012年12月の間、これらの717のWebサイトには、2,029回のアクセスが主に日本のユーザからありました。

図2：日本のユーザ向けに偽装された「マスターカード」のWebサイト

トレンドラボは、デンマークの電子決済会社「Nets Group」を装った攻撃の増加を確認しています。通常、この脅威は、Eメールを介してコンピュータに侵入し、ユーザにアカウントの有効化または更新の確認をするよう促します。

あるサイバー犯罪者は、多国籍の不動産会社「Remax」の902のなりすましサイトを作成しました。

ブラジルでは、「TSPY_BANKER」の亜種をダウンロードすることで知られる「TROJ_BANLOAD」の亜種が組み込まれたなりすましサイトに現在も悩まされています。この攻撃は、「Bradesco」や「Banco de Brasil」といった銀行を装った Eメールを介してコンピュータに侵入します。この Eメールには、通常、URL短縮サービス「bit.ly」などによって短縮された URL が含まれており、これらの Webサイトに誘導します。またコロンビアのユーザも、同様に不正プログラム「BANKER」（「TSPY_BANKER.TGF」として検出）の攻撃の対象となっていました。この不正プログラムは、Microsoft Excel のアイコンを利用し、無料のギフトカードとして装うことでユーザに不正な EXEファイルを実行させます。

残念ながらモバイル端末利用者も、Webからの脅威から逃れることはできません。以下にあげるのは、モバイル端末向けの PayPal のなりすましサイトの一例です（図3参照）。モバイル端末ユーザには、通常、すべての URL が見えないため、ユーザに正規Webサイトを訪問したかのように思わせるのは容易いことなのです。

図3：モバイル向け「PayPal」の偽のWebサイト（左）と正規サイト（右）

トレンドラボは、「Chase」銀行を標的とした添付ファイル（「TROJ_DLOADER.YZX」として検出）を含むスパムメールも確認しています。実行されると、この不正プログラムは、「TSPY_ZBOT.MDN」、「TSPY_ZBOT.LOA」および「TROJ_FAKE.BMC」など他の不正プログラムを大量にダウンロードします。

これらの傾向から一つ言えることは、「休暇シーズンやその他の特別な行事が行われる際は、フィッシング攻撃に対して特に用心しておく」ということです。

偽装やフィッシングのEメールと正規のものを見分けるには、以下の点に注目してください。

通常、偽造されたEメールは、汎用的な挨拶文を含んでおり、受信者自身に宛てられたものではありません。

正規Eメールによる通知には、明らかな文法的な誤り、誤字脱字が含まれていることはまずありません。

偽装された Eメールは、「大げさ」な言い回しでユーザにリンクをクリックさせたり個人情報を提供するように促します。

Blackhole Exploit Kit に関連する Eメールには、正規の供給元からの Eメールと同じように見えるかもしれないためユーザは、Eメールを注意して読むことをお勧めします。できれば、メールが本物かどうかを確認することをお勧めします。

ユーザは、よく知っている送信元から届いた Eメールのように見えても、添付ファイルを開いたり URL のクリックをしないことをお勧めします。ショートカットのリンクをコピーし、それが本物かどうかを再確認する習慣付けてください。合わせて、Eメールの本文を注意して読み、詐欺行為の被害に遭わないよう心がけてください。そして、ソフトウェア企業が公開した最新のセキュリティ更新プログラムを使用してコンピュータを常に最新の状態に保ってください。

モバイル端末のユーザは、正規のアプリケーションのみをダウンロードするようにしたり、個人情報を入力する前に、アドレスバーに HTTPS や鍵のアイコンがあるかを確認してください。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、スパムメールを検出し、フィッシングサイトへのアクセスをブロックされます。

※協力執筆者：E-mailレピュテーションサービスチーム

参考記事：

「Holiday Season Unwraps Phishing, Blackhole Exploit Attacks」
　by Paul Pajares (Fraud Analyst)

　翻訳：栗尾 真也（Core Technology Marketing, TrendLabs）