本ブログでも数回にわたり取り上げていますが、2014年後半から「偽サイト」と呼ばれるネット通販を偽装する詐欺サイトの事例が目立っています。この傾向は現在も継続中であり、トレンドマイクロでは 2015年に入り現在までに、偽サイトへの誘導事例を複数確認しました。年末から新年にかけて、日本を狙うサイバー犯罪者が偽サイトへの誘導に力を入れていることは間違いないようです。
■直近事例:「Twitter」上の不審ツイートからの誘導
1月11日以降、「家電人気アウトレットなどが格安価格《期間限定》最大 70%オフ!買うなら今」という本文で、「saleonline<省略>」という家電のネット通販を偽装した詐欺サイトへ誘導する不審なツイートが継続して見られています。不審なツイートの送信者はアカウントの乗っ取り被害に遭っているものと見られます。
図1:詐欺サイトへ誘導する不審なツイートの例
検索サイトの「Yahoo!」が提供するリアルタイム検索によれば、1月11日以降同内容の不審なツイートが 16,000件以上あったことが確認できました。興味深いのは不審なツイートが行われるのは 1日1回ある 1時間に集中していることです。
図2:詐欺サイト「saleonline<省略>」へ誘導する不審なツイート数の推移(Yahoo!リアルタイム検索による)
ツイートの集中が 1日に 1回発生していることがわかる
これは攻撃者が何らかの遠隔操作などの手口により、乗っ取ったアカウントから一斉に不審なツイートを送信しているものと推測できます。
図3:不審なツイートによって誘導される詐欺サイト「saleonline<省略>」の例
この不審なツイートから誘導される詐欺サイトでは有名電気店のfaviconを無断利用していることも確認できました。このような知名度の高いブランドのロゴなどを使用し、利用者を信用させようとする手口は常套化しているものと言えます。
図4:詐欺サイトでは有名電気店の favicon を無断利用していた
■常套化する「Web広告」の汚染による誘導
Twitter を利用した偽サイトへの誘導の他、継続して Web広告の汚染による誘導も確認されています。Web広告の汚染については、不正プログラムなどの拡散を狙った攻撃として「Yahoo!」や「Youtube」などの大規模事例が昨年に確認されていますが、この年末から年始にかけては Google のリスティング広告の汚染による偽サイトへの誘導が確認されました。Google の Web検索で「家電」、「激安」など特定のキーワードを検索した場合、最終的に「shopnewday<省略>」という家電のネット通販を偽装した詐欺サイトへ誘導する不正な広告が表示されるというものです。
図5:Googleリスティング広告から誘導される詐欺サイト「shopnewday<省略>」
この事例では、Google の広告から直接遷移する先の URL は改ざんされた正規サイトであり、そこから詐欺サイトへリダイレクトする手の込んだ誘導方法となっていました。これは正規サイトを利用して広告の審査などをかいくぐる手法であるとみられます。
この事例についてトレンドマイクロでは、1月8日時点で不正な広告は一掃され、安全な状態に戻っていたことを確認しています。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」の統計によれば、昨年12月27日~今年1月9日の期間に日本から詐欺サイトへ5万件以上のアクセスが確認されています。1月3日には 1日でおよそ 1万2千件のアクセスが誘導されていましたが、安全な状態に戻った 1月9日以降はほとんどアクセスが無い状態となっており、Google広告からの誘導が大きな影響を与えていたことを示しています。
図6:詐欺サイト「shopnewday<省略>」へのアクセス数推移(トレンドマイクロSPNによる)
■詐欺サイトのドメイン情報から垣間見えるサイバー犯罪者
トレンドマイクロではこの異なる経路で誘導された詐欺サイトのドメイン情報から、共通点を発見しました。whois情報によれば、今回の不審なツイートにより誘導された詐欺サイトのドメイン「saleonline<省略>」は1月9日に登録されており、今回の不審なツイートが始まる直前に用意されたものとわかりました。
|
Domain Name:saleonline<省略> Registry Domain ID: Registrar WHOIS Server:whois.paycenter.com.cn Registrar URL:http://www.xinnet.com Updated Date:2015-01-09 06:16:38 Creation Date:2015-01-09 06:16:38 <省略> Registry Registrant ID: Registrant Name:a bc Registrant Organization:a bc Registrant Street:changyexian 15-272 Registrant City:dongjingdu Registrant State/Province:dongjingdu Registrant Postal Code:165272 Registrant Country:China <省略> Registrant Email:ymzgcart@yeah<省略> |
また、ドメイン登録者のメールアドレスから調査したところ、同一のメールアドレスにより合わせて 600件以上のドメイン取得が行われていたことも確認できました。そして、その中には Google広告から誘導された詐欺サイト「shopnewday<省略>」も含まれていました。
|
Domain Name:shopnewday<省略> Registry Domain ID: Registrar WHOIS Server:whois.55hl.com Registrar URL:http://www.55hl.com Updated Date:2014-12-26 15:33:00 Creation Date:2014-12-26 15:32:37 <省略> Registry Registrant ID: Registrant Name: ma nan Registrant Organization: abc Registrant Street: changyexian15-272 Registrant City: dongjingdu Registrant State/Province: Others Registrant Postal Code: 165272 Registrant Country: CN <省略> Registrant Email:ymzgcart@yeah<省略> |
メールアドレスをはじめ、登録者情報が「saleonline<省略>」とほとんど同一であることがわかる
登録者のメールアドレスだけでなく住所などもほとんど同一であり、Twitter から誘導される「saleonline<省略>」と不正広告から誘導された「shopnewday<省略>」の 2つの詐欺サイトの背後には同一のサイバー犯罪者がいるものと推測できます。また、「shopnewday<省略>」の登録日は 2014年12月26日であり、これも不正広告からの誘導が開始されたとみられる 12月27日の直前に登録されたことがわかります。
また、「saleonline<省略>」をホストしているサーバー上には「paymentjapan<省略>」というドメイン名で実在のクレジットカード決済サイトの偽サイトが構築されていることも確認できました。
|
Domain Name:paymentjapan<省略> Registry Domain ID: Registrar WHOIS Server:whois.paycenter.com.cn Registrar URL:http://www.xinnet.com Updated Date:2015-01-04 03:29:51 Creation Date:2015-01-04 03:29:51 <省略> Registry Registrant ID: Registrant Name:a bc Registrant Organization:a bc Registrant Street:changyexian 15-272 Registrant City:dongjingdu Registrant State/Province:dongjingdu Registrant Postal Code:165272 Registrant Country:China <省略> Registrant Email:ymzgcart@yeah<省略> |
■安全なネット通販のために
サイバー犯罪者は次々と新しい詐欺サイトを設置し、不正な営業活動を続けています。これに対し、利用者は安全にオンラインショッピングを利用するため、詐欺の最新手口を知り、騙されないようにする必要があります。サイバー空間で個人情報や決済などに関わる情報など大切な情報を入力するときには、最後にもう一度立ち止まって考える習慣を身につけるべきです。危険なポイントを理解し、十分な対策を取ることでオンラインショッピングは安心して利用することができます。
- インターネットセキュリティナレッジ:『購入した品物が届かない!?ネット詐欺の最新動向と対策のポイント』
http://www.is702.jp/special/1693/ - インターネットセキュリティナレッジ:『注文したのに商品が届かない?!「偽サイト」の特徴を知り、トラブルを回避しよう』
http://www.is702.jp/special/1611/
しかし、それでも詐欺サイトの被害に遭遇した場合、どうすればよいでしょうか。最寄りの専門窓口に相談すべきです。特に金銭的な被害が発生した場合は、金融機関と警察のサイバー犯罪相談窓口に相談することを強くお勧めします。
| 被害 | 相談窓口 |
|---|---|
| ネット犯罪に遭遇 | 警察庁 サイバー犯罪相談窓口 |
| 海外の通販サイト利用時のトラブル遭遇 | 消費者庁 越境消費者センター(CCJ) |
| 偽装品の販売に遭遇 | 一般社団法人 ユニオン・デ・ファブリカン |
| 商品やサービスなど消費生活全般に関する苦情や問合せ | 独立行政法人国民生活センター 消費生活センター |
| 自社ブランドになりすました偽サイトを確認 | なりすましECサイト対策協議会 |
■トレンドマイクロの対策
トレンドマイクロでは、デジタル情報が行き交う世界の安全を守るという任務の一環として、積極的に「偽サイト」または「なりすまし電子商取引( EC )サイト」と呼ばれる詐欺行為について引き続き調査を行っていきます。またサイバー犯罪者の摘発のため、各国の法執行機関と連携、協力してまいります。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、詐欺サイトなど不正な Web サイトへのアクセスをブロックします。
※調査協力:林憲明(Forward-looking Threat Research)および金折聡(Regional Trend Labs)
【更新情報】
| 2015/01/16 | 11:00 | 図6のタイトル間違いを修正しました。 |