フィッシング詐欺を企てるサイバー犯罪者たちは、これまでとは異なる「獲物」に狙いを定め、攻撃を実行していたようです。その対象となったのは、「Apple ID」。「TrendLabs(トレンドラボ)」は、2013年4月下旬、Apple ID を収集しようとするフィッシングサイトの急増を確認しています。
トレンドラボでは、これら問題の URL について検証した結果、これらのフィッシングサイトの URL には一貫したパターンがあることを確認しました。これら URL は、“~flight” という名のフォルダ配下にあり、このフォルダのみにアクセスしようとすると、以下のページが表示される点に注目すべきです。
 |
|
|
厳密に言うと、上のページが表示されるように変更が加えられただけで、乗っ取られたわけではありませんでした。つまり、もとのコンテンツは、変更されていなかったということです。しかし、Web サイトがこのような状態のままであると、乗っ取られたり書き換えられたりする可能性があります。
前述で、フォルダ “~flight” について触れましたが、この問題のフォルダは、以下のような Apple ID のログインページをとても忠実に真似たページを含んでいます。
 |
|
|
トレンドラボは、合計110の変更が加えられた Web サイトを確認しました。そしてすべてが、米国ヒューストン地域のインターネット・サービス・プロバイダー(ISP)に登録されている「70.86.13.17」の IP アドレスにホストされてることが判明しています。またほぼすべての Web サイトは、削除されていませんでした。
 |
|
|
なお上のグラフから、Apple ID を狙うフィッシングサイトが増加していることが判ります。トレンドラボでは、米国のユーザだけではなく、英国およびフランスのユーザを狙う攻撃を確認してきました。また今回の攻撃のなかには Apple ID のログイン認証情報のみならず請求書送付先の住所や個人情報、クレジットカード情報などをユーザに求めるものがあります。そして結果的にそのページは、アクセス可能な状態に戻りますが、ユーザの情報は収集されています。以下の一例から、問題のサイトがどのようにクレジットカード情報を要求するかがわかります。
 |
|
|
ユーザは、スパムメッセージを介してこれらのフィッシングサイトへと誘導されます。このメッセージは、ユーザの情報が、「監査」の対象になる場合を除き、48時間以内にアカウントが失効することを告げるものです。これにより、ユーザにリンクをクリックさせるだけではなく、自ら進んで情報を差し出すよう仕向けます。
 |
|
|
これらのフィッシングサイトを特定する1つの方法は、偽サイトは、ユーザが安全なサイトを閲覧していることを示す印を表示することがないことを知っておくことです。以下は、“Google Chrome” を使用し正規のサイトを閲覧した場合であり、アドレスバーの一部に鍵のマークと「Apple Inc. [US]」が表示されていることがわかります。
 |
|
|
なお “Internet Explorer(IE)” や “Firefox” を使用している場合でも、同じような方法で、安全なサイトであることが示されます。
フィッシング詐欺をもたらすメッセージ自体に関しては、正規のメッセージは、大抵の場合、メッセージの発信元やリンクの誘導先サイトなどすべてにおいて、一致するドメインを持っています。一見正規の E メールにそっくりなものが不正に利用されているため、単に E メールの外観だけから判断するのでは、不十分です。
また Apple ID の管理やその他のインターネット活動をモバイル端末上で行なっているユーザは、自身の身を守るために、こちらを御覧ください。
なおトレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。
※協力執筆者:Mark Aquino (Anti-Spam Research Engineer)
参考記事:
by Paul Pajares (Fraud Analyst)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)