日本の利用者を狙う偽サイト、悪用のため7万件のドメインを取得

これまでも本ブログで取り上げているように、「偽サイト」もしくは「なりすましECサイト」と呼ばれる詐欺目的の不正サイトによる被害が後を絶ちません。これらの詐欺サイトは一般的なオンラインショッピングサイトを偽装し、利用者を騙して金銭やクレジットカード情報を詐取します。今回トレンドマイクロでは iPhone のアクセサリー販売を偽装した詐欺サイトを確認しました。この詐欺サイトに関して調査を進めた結果、日本国内から少なくとも 6000以上の利用者が誘導されていたこと、この詐欺サイトを設置したサイバー犯罪者は今回確認された詐欺サイトも含めおよそ 7万件ものドメインを取得し悪用していたことが確認されました。

図1:2014年第3四半期に全世界で使用された脆弱性攻撃ツール内訳
図1:今回確認された問題の詐欺サイト例:iPhone のアクセサリー販売サイトを偽装

■詐欺サイトのためにおよそ 7万件のドメインを取得したサイバー犯罪者の手口
whois情報によれば、今回確認された詐欺サイトのドメインは、2014年4月2日に登録更新が行われています。サイバー犯罪者は少なくともこの更新日以前から詐欺サイト設置の準備を進めていたものと言えます。

Domain Name: M<省略>E.COM
Update Date: 2014-04-02 01:29:30
Creation Date: 2014-04-02 01:23:49
Registrant Name: wen <省略>
Registrant City: xiamen
FRegistrant State/Province: fu jian
Registrant Country: China
Registrant Email: <省略>@qq.com

表1:今回確認された詐欺サイトドメインの whois情報(抜粋)

また、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」の統計情報では、ドメインが更新された 4月2日から 12月17日までの間に、日本国内からおよそ 6,400ユーザが詐欺サイトにアクセスしていたことも確認できました。

図2:ドメイン更新日以降の詐欺サイトへのアクセス件数推移
図2:ドメイン更新日以降の詐欺サイトへのアクセス件数推移

このアクセス推移によれば、12月10日以降アクセス数が急増しており、クリスマス、年末とオンラインショッピングが盛んになる時期に合わせ、サイバー犯罪者が詐欺サイトへの誘導策を講じたことが推察されます。サイバー犯罪者は同一手口の犯罪を繰り返す傾向があります。トレンドマイクロでは、この詐欺サイトを設置したサイバー犯罪者が他にも同様のサイトを設置していないか、whois情報を元に同一のメールアドレスにより取得された他のドメインの存在を調査しました。すると、およそ 7万件近い 69,079ドメインが同一の申請者情報により、取得されていることが判明しました。一般的にサイバー犯罪者は、セキュリティベンダーの監視を逃れるためにも複数の申請者情報を使い分けることが多い中、これまでに例のない大量のドメイン取得数と言えます。

図3:同一のサイバー犯罪者により取得されたとみられるドメイン情報例
図3:同一のサイバー犯罪者により取得されたとみられるドメイン情報例

この同一のサイバー犯罪者が取得したとみられる 7万近いドメインについて調査したところ、今回確認した iPhoneアクセサリー販売サイトの他にも、サングラスやファッションブランド、自転車用品、ゴルフ用品など、多岐にわたる商品の販売を偽装した詐欺サイトが設置されていたものとわかりました。また、これらの詐欺サイトは非常に巧妙に作成されており、一般的なオンラインショッピングサイトで見られるカートのシステムや、サイト上でのクレジットカード決済にも対応していました。もちろん、注文と決済が完了しても、利用者が望みの商品を入手できるわけではありません。現在、様々な詐欺サイトにおいてクレジットカード決済への対応が進んでおり、背景として審査の緩いオンライン決済代行業者の存在が指摘されています。

図4:同一のサイバー犯罪者によるものと思われる詐欺サイト例
図4:同一のサイバー犯罪者によるものと思われる詐欺サイト例

図5:同一のサイバー犯罪者によるものと思われる詐欺サイト上でのクレジットカード決済画面例
図5:同一のサイバー犯罪者によるものと思われる詐欺サイト上でのクレジットカード決済画面例

また、これらの詐欺サイトへの誘導手段として、特定のキーワードで Web検索を行った際に上位に表示される URL からのリダイレクトなどが使用されていることもわかりました。特に今回の調査の発端となった iPhoneアクセサリー販売の詐欺サイトへの誘導を行う URL に関しては、オーストラリアの政府機関を表す TLD「.gov.au」ドメインが多く確認されました。サイバー犯罪者は誘導のための URL が Web検索で上位に表示されることを実現するため、なるべく信頼度の高い正規サイトの改ざんを狙っています。特に政府系機関のサイトは信頼度の高い URL として狙われており、今回の誘導についても信頼度の高いサイトとしてオーストラリア政府機関のサイトが改ざん、悪用されたものと考えられます。現在では誘導の目的で改ざんされたサイトは修正が行われており、危険はありません。

図6:特定キーワードのWeb検索によって表示された誘導URLの例
図6:特定キーワードのWeb検索によって表示された誘導URL の例

また、誘導URLを Web検索結果に表示させる手口の一端として、「ワードサラダ」という手法が用いられていることも確認できました。ワードサラダとは自動生成された文章を使用してコンテンツとして見せかけることにより、Web検索エンジンやメールのスパムフィルタを回避する手口です。自動生成された文章のため、多くの場合文法的には正しい文章であっても、人間が読むと支離滅裂な内容であることがすぐにわかります。しかし、逆に様々な単語を含むため、検索にヒットしやすくなる点もサイバー犯罪者にとっては有利に働きます。上図に示した検索結果でも、直接 iPhoneアクセサリーとは関連が無く思えるページ説明であっても検索にヒットしていることがわかります。

■安全なネット通販のために
サイバー犯罪者は次々と新しい詐欺サイトを設置し、不正な営業活動を続けています。これに対し、利用者は安全にオンラインショッピングを利用するため、詐欺の最新手口を知り、騙されないようにする必要があります。サイバー空間で個人情報や決済などに関わる情報など大切な情報を入力するときには、最後にもう一度立ち止まって考える習慣を身につけるべきです。危険なポイントを理解し、十分な対策を取ることでオンラインショッピングは安心して利用することができます。

  • インターネットセキュリティナレッジ:『購入した品物が届かない!?ネット詐欺の最新動向と対策のポイント』
    http://www.is702.jp/special/1693/
  • インターネットセキュリティナレッジ:『注文したのに商品が届かない?!「偽サイト」の特徴を知り、トラブルを回避しよう』
    http://www.is702.jp/special/1611/

しかし、それでも詐欺サイトの被害に遭遇した場合、どうすればよいでしょうか。最寄りの専門窓口に相談すべきです。特に金銭的な被害が発生した場合は、金融機関と警察のサイバー犯罪相談窓口に相談することを強くお勧めします。

被害 相談窓口
ネット犯罪に遭遇 警察庁 サイバー犯罪相談窓口
海外の通販サイト利用時のトラブル遭遇 消費者庁 越境消費者センター(CCJ)
偽装品の販売に遭遇 一般社団法人 ユニオン・デ・ファブリカン
商品やサービスなど消費生活全般に関する苦情や問合せ 独立行政法人国民生活センター 消費生活センター
自社ブランドになりすました偽サイトを確認 なりすましECサイト対策協議会

■トレンドマイクロの対策
トレンドマイクロでは、デジタル情報が行き交う世界の安全を守るという任務の一環として、積極的に「偽サイト」または「なりすまし電子商取引( EC )サイト」と呼ばれる詐欺行為について引き続き調査していきます。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、詐欺サイトなど不正な Web サイトへのアクセスをブロックします。

※調査とリサーチ協力:林 憲明(Forward-Looking Threat Research)