検索:
ホーム   »   モバイル   »   巧妙化するフィッシング詐欺、Googleドライブの偽サイトを利用して情報収集

巧妙化するフィッシング詐欺、Googleドライブの偽サイトを利用して情報収集

  • 投稿日:2014年10月30日
  • 脅威カテゴリ:モバイル, クラウド, スパムメール, サイバー犯罪, TrendLabs Report
  • 執筆:Threat Response Engineer - Joie Salvio
0

サイバー犯罪者や攻撃者は、監視の目を逃れ、検出を回避するために、Googleドライブの Webサイトや知名度を利用します。トレンドマイクロでは、ユーザから情報を窃取する手段として Googleドライブを利用した標的型攻撃に関するブログ記事を公開しました。今回の攻撃では、正規の Googleドライブのログインページに手を加え、Eメールの個人情報を収集するために利用されました。これは、2014年5月に実行された複数の Eメールアドレスを狙った攻撃の改良版だと考えられています。

■Googleドライブの偽サイト
ユーザが受け取る Eメールには、Googleドライブの Webサイトになりすました偽サイトに誘導するリンクが記載されています(図1)。

図1:Googleドライブの偽サイトへのリンクが記載されたスパムメール
図1:Googleドライブの偽サイトへのリンクが記載されたスパムメール

この偽サイトでは、ユーザはさまざまなサービスプロバイダのメールアドレスを使ってログインすることができます。これは、Google のメールアカウントしか使用できない正規の Googleドライブとまったく異なります。また、この Webサイトでは言語を選択できますが、実際には機能しません。

図2:Googleドライブの偽サイト
図2:Googleドライブの偽サイト

そして、ユーザに疑いを持たれずにだます手法が実行されます。この偽サイトは、正規の Webサイト上にある投資に関する PDFファイルにユーザを誘導します。しかし、投資に関する Webサイトに誘導する方法はユーザに疑問を抱かせるかもしれません。なぜなら、Eメールでは、そのファイルが金融に関するものであることに触れていないからです。

図3:ログイン後、ユーザは正規の Webサイトに誘導される
図3:ログイン後、ユーザは正規の Webサイトに誘導される

■ソースコードの解析
弊社がこのソースコードを簡単に解析したところ、Chrome の「save」タグが確認できました。これは、この偽サイトの作成者が正規の Googleドライブのログインページ上のソースコードを保存し、不正なコードを追加した可能性を意味します。この Webサイトは Googleドライブのソースコードを使い回しているため、ソースコードを確認する検査ツールはすべて正常に動作します。また、この偽サイトは、適切な形式の Eメールアドレスのみを受け入れます(例:<アカウント名>@<サービスプロバイダ>.com)。これは、意味をなさない文字でもすべて受け入れていた以前のフィッシングページと大きく異なる点です。

図4:偽サイトのソースコードは、Googleドライブのコードを使い回していることがわかる
図4:偽サイトのソースコードは、Googleドライブのコードを使い回していることがわかる

ユーザが「サインイン」をクリックすると、Eメールアドレスやサービスプロバイダ名などの個人情報が特定の URL に送信されます。

図5:偽サイトや誘導先の Webサイト、収集した情報など、この攻撃に関連するすべての不正活動が確認できる
図5:偽サイトや誘導先の Webサイト、収集した情報など、この攻撃に関連するすべての不正活動が確認できる

図6 のフィッシングページは、スポーツに関連する中国語のフォーラムのように見えますが、おそらく改ざんされたものです。

図6:改ざんされた中国語の Webサイト
図6:改ざんされた中国語の Webサイト

■偽サイトを介した拡散
図7 の投稿から、サイバー犯罪者は被害者となるユーザをより多く得るためにアカウントを乗っ取ったことが分かります。この不正活動は少なくとも 3カ月前から行なわれているようです。

図7:乗っ取られたアカウントがリンクを拡散するためにどう悪用されたかを語るユーザの投稿
図7:乗っ取られたアカウントがリンクを拡散するためにどう悪用されたかを語るユーザの投稿

■モバイルユーザにも影響
弊社の解析によると、今回の攻撃はモバイル端末にも影響を与えます。ユーザが「サインイン」をクリックすると、PDFファイルがダウンロードされ、ユーザの個人情報がサイバー犯罪者に送られます。

図8:モバイル端末上でも PDFファイルがダウンロードされる
図8:モバイル端末上でも PDFファイルがダウンロードされる

今回の攻撃に関連する URL は以下のとおりです。

  • http://www[.]86579[.]net/pdf/doc2014/
  • http://www[.]86579[.]net/pdf/doc2014/action.php

これらの URL により、ユーザは「https://ad[.]bfopay[.]com/pdf/doc2014/action.php」に誘導されます。しかし、2014年10月30日時点ではアクセス不可となっています。

■トレンドマイクロの対策
たとえ既知の連絡先であっても、Eメールを開封する際は十分に注意して下さい。Eメール上のリンクはクリックしないようにして下さい。リンクにマウスカーソルを置くと、ステータスバー上で実際の URL を確認することもできます。

ユーザはまた、ログイン認証情報や連絡先などの個人情報を共有する前に、Webサイトが正規のものであるかを確認して下さい。また、「.com」と「.org」など、URL のスペルやドメイン名などが正規の Webサイトと違いがないかを確認するとよいでしょう。さらに、情報を共有する前に Webサイトのセキュリティを確認すべきです。基本的に HTTPS を使用している Webサイトは、使用していない Webサイトより安全と言われています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。さらに「ウイルスバスター モバイル」は、不正なリンクをブロックし、モバイルユーザをこの脅威から保護します。

弊社は、この偽サイトに関し、Google に報告しました。

参考記事:

  • 「Phishers Improve Scheme With Spoofed Google Drive Site」
    by Joie Salvio (Threat Response Engineer)

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

Related posts:

  1. 「Viber」を装ったスパムメール、ユーザのOSによって誘導先を変更
  2. 少額決済システムを利用した詐欺を行うAndroid端末向け不正アプリ、台湾で拡散
  3. 「UPATRE」:2014年スパムメールにより最も多く拡散された不正プログラムに
  4. iPhoneが発端となったフィッシング詐欺事例:窃盗犯とサイバー犯罪者の共謀か
Tags: フィッシングスパムメールGoogleドライブ


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.