実例で見るネットの危険:SMSから出会い系詐欺サイトへの誘導

サイバー犯罪者はしばしば、ソーシャルメディアや電子メール、SMSを利用してターゲットとなるユーザにメッセージやメールを送信し、不正サイトへ誘導する手口を利用します。 特に海外では「Romance Scam(ロマンス詐欺)」とも呼ばれる「出会い系詐欺」においては、インターネット上の出会い系サイトが誘導先となります。この5月、トレンドマイクロのリサーチャは、出会い系詐欺に関連するいくつかのキャンペーンを確認しました。これらのキャンペーンでは、類似した構成、レイアウトの不審なサイトが多数用意されており、日本から多くのユーザがアクセスしていることが確認されました。

図1:今回のキャンペーンで確認した類似デザインの出会い系詐欺サイト例

リサーチャはトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network」の機能である「Webレピュテーションサービス(WRS)」の統計データから、今回確認したキャンペーンに関連する複数の出会い系詐欺サイトを調べました。その結果、4月から6月の3か月間でキャンペーンに関連する不正ドメインが1日平均500件(最大4,250件、最小181件)稼働していたことを確認できました。そしてこれらのドメインには、日本からのべ1万2,000人以上の利用者が誘導されていたことがわかりました。

図2:今回確認した出会い系詐欺サイトに国内から誘導された利用者数の推移

一般的に、出会い系詐欺への誘導手法は、電子メールのスパムから、携帯電話のテキストメッセージ(SMS)に移行しています。SMSは携帯電話の機能であるためスマートフォン利用者を狙う攻撃と考えられますが、実際、今回のキャンペーンでも誘導された利用者の97%がモバイル製品の利用者でした。

図3:出会い系詐欺サイトへ誘導された利用者の使用製品別割合

このスパムSMSメッセージは、受け取ったユーザが詐欺サイトへの埋め込みリンクをクリックするよう誘導します。

A picture containing screenshot, computer

Description automatically generated
図4:詐欺サイトへ誘導するSMSメッセージ

ユーザがリンクをクリックすると、出会い系サイトらしきページにリダイレクトします。そこで、以下の図に示すように、メンバー登録してポイントを購入するよう促します。

A screenshot of a cell phone

Description automatically generated
図5:メンバー登録とポイント購入を促す出会い系詐欺サイトの例

会員登録とポイントを購入しても、実際には記載されていたような支援金は入手できず、ユーザは騙されたことに気づくことになります。

また、「特定商取引法に関する表記」というボタンをクリックすると、この出会い系サイトについて簡単な紹介と料金の記載があります。

A screenshot of a cell phone

Description automatically generated
図6:詐欺サイトの「特定商取引法に関する表記」

料金表を見ると、メール送信に1万円もかかることがわかります。

A screenshot of text

Description automatically generated
図7:高額なメール送信料金

連絡先に使用されているドメインまたはメールアドレスをキーワードにGoogle検索を行うと、不審なものであるとする意見が確認できます。さらにこの出会い系サイトの運営組織の所在地を調べると、香港やフィリピンなどとされており、日本国内ではありません。

A screenshot of a cell phone

Description automatically generated
図8:所在地がヴァージン諸島と記載されている
詐欺サイトの例
図9:所在地がフィリピンの例

日本語で作成された日本のユーザ向けの出会い系サイトであるにもかかわらず、所在地が日本でないことは疑問視すべき点と言えます。また、特定商取引法により正式に許認可を得ているサイトの場合には「受理番号」の記載がありますが、確認した詐欺サイトにはありませんでした。

正規サイトの例:
図10:許認可を受けたサイトの表示例
今回確認した詐欺サイトの場合:
図11:詐欺サイトの表示例
HTML分析

詐欺サイトでは、所在地や事業者名などの情報を表示するために画像ファイルを利用しています。このようにして、攻撃者は記載される重要な情報を漏れなくすばやく置き換えることを可能にしていると考えられます。

図12:画像ファイルを利用していることがわかる

このように、インターネット利用者を不審なサイトへ誘導する攻撃は連日のように続いており、多くの利用者が誘導先へアクセスしてしまっている実態があります。ネットの危険を避けるためにも、メールやメッセージ内のリンクを安易にクリックしてアクセスしないようにしましょう。確認の必要がある場合には、必ず誘導先のURLをWeb検索などの方法で正規サイトであるか調べましょう。

侵入の痕跡(Indicators of CompromiseIoCs

侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。

参考記事:

  • 「SMS Leads to Dating Site Scam, Targets Japanese Users」by Alex Chen

記事構成:岡本 勝之(セキュリティエバンジェリスト)

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)