トレンドマイクロが、Netflixを偽装したフィッシングサイトhxxp://<省略>[.]com/netflix/を調査したところ、ユーザの位置情報を取得する活動を行うことが判明しました。このフィッシングサイトは、PartnerRe社の情報セキュリティアナリストAndrea Palmieri氏がTwitterの投稿で、アカウント情報、クレジットカードの認証情報、個人を特定できる情報(PII、Personally Identifiable Information)の収集を行うと指摘したものでした。
このフィッシングサイトは、Netflixのログインページを偽装しています。ユーザがメールアドレスや電話番号などの認証情報と一致するNetflixアカウントのパスワードを入力すると、ユーザにアカウント情報の更新を要求するページが表示されます。このサイトでは、ユーザの位置検出を可能にするジオロケーション機能が採用されていることが判明しています。この機能は市や州・県・地域、そして郵便番号の詳細を自動的に入力することにも使用されています。また、偽サイトのURLには国名コードも取り入れられています。
要求された情報を提供すると、以下の図3のように「あなたのアカウントへのアクセス権限が復旧しました」という復旧処理の「成功」を知らせる確認メッセージが表示されます。
そして、偽サイトはユーザの地域属性に基づいて正規のNetflixのページにリダイレクトします。
上述のTwitter投稿から数日後、Palmieri氏は以下のようなNetflix関連のフィッシングサイトも確認したと明らかにしました。
- Austupdatenetflixnetwork[.]<省略>/logintv/home/myaccount/<省略>/login/
- hxxp://updatenetflixaus[.]<省略>[.]org/login/myaccount/
- hxxp://secured-update-server-configuration[.]<省略>[.]com
トレンドマイクロでも、過去数回にわたってNetflixをおとりとして利用する類似のフィッシング活動を確認してきました。いくつかの脅威では、同時に新型コロナウイルスの感染拡大を利用します。新型コロナの感染拡大により人々が自宅で時間を費やすようになり、Netflixなどの動画視聴プラットフォームは、最も人気のある暇つぶしの手段の1つとなっています。サイバー犯罪者は、フィッシングやその他のソーシャルエンジニアリングの手口を利用して脅威に気づかないユーザを騙すために、Netflixなどのアプリを使用します。
■被害に遭わないためには
フィッシングサイトは、対象のユーザから機密情報を収集しようとします。これらの不正サイトは、ユーザインターフェースを模倣した上で正規のWebサイト名を利用してなりすますため、正規のログインページと見分けるのは困難な場合があります。このような脅威を防ぐため、以下のベストプラクティスを講じることを推奨します。
- ブラウザに表示されているURLが正規のURLであるかどうかを確認する
- メールに記載されているURLリンクは安易にクリックしないようにする。URLリンクにマウスポインタを合わせると、実際の接続先が確認できる
- 機密情報や個人情報をオンライン上で共有しない
■トレンドマイクロの対策
セキュリティ対策製品は、フィッシングに対する保護を強化するのに役立ちます。 トレンドマイクロの「Webセキュリティ」には、不正なWebサイトをブロックするのに役立つURLフィルタリング機能が搭載されています。 多くのフィッシングリンクはメールを介して拡散されるため、メールおよびコラボレーション向けのセキュリティ対策製品は、フィッシングからユーザを保護するのにも役立ちます。
■侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡はこちらを参照してください。
※調査協力:Monte de Jesus
参考記事:
- 「Phishing Site Uses Netflix as Lure, Employs Geolocation」
By Trend Micro
翻訳:下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)