サイバー犯罪者はしばしば、ソーシャルメディアや電子メール、SMSを利用してターゲットとなるユーザにメッセージやメールを送信し、不正サイトへ誘導する手口を利用します。 特に海外では「Romance Scam(ロマンス詐欺)」とも呼ばれる「出会い系詐欺」においては、インターネット上の出会い系サイトが誘導先となります。この5月、トレンドマイクロのリサーチャは、出会い系詐欺に関連するいくつかのキャンペーンを確認しました。これらのキャンペーンでは、類似した構成、レイアウトの不審なサイトが多数用意されており、日本から多くのユーザがアクセスしていることが確認されました。
リサーチャはトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network」の機能である「Webレピュテーションサービス(WRS)」の統計データから、今回確認したキャンペーンに関連する複数の出会い系詐欺サイトを調べました。その結果、4月から6月の3か月間でキャンペーンに関連する不正ドメインが1日平均500件(最大4,250件、最小181件)稼働していたことを確認できました。そしてこれらのドメインには、日本からのべ1万2,000人以上の利用者が誘導されていたことがわかりました。
一般的に、出会い系詐欺への誘導手法は、電子メールのスパムから、携帯電話のテキストメッセージ(SMS)に移行しています。SMSは携帯電話の機能であるためスマートフォン利用者を狙う攻撃と考えられますが、実際、今回のキャンペーンでも誘導された利用者の97%がモバイル製品の利用者でした。
このスパムSMSメッセージは、受け取ったユーザが詐欺サイトへの埋め込みリンクをクリックするよう誘導します。
ユーザがリンクをクリックすると、出会い系サイトらしきページにリダイレクトします。そこで、以下の図に示すように、メンバー登録してポイントを購入するよう促します。
会員登録とポイントを購入しても、実際には記載されていたような支援金は入手できず、ユーザは騙されたことに気づくことになります。
また、「特定商取引法に関する表記」というボタンをクリックすると、この出会い系サイトについて簡単な紹介と料金の記載があります。
料金表を見ると、メール送信に1万円もかかることがわかります。
連絡先に使用されているドメインまたはメールアドレスをキーワードにGoogle検索を行うと、不審なものであるとする意見が確認できます。さらにこの出会い系サイトの運営組織の所在地を調べると、香港やフィリピンなどとされており、日本国内ではありません。
日本語で作成された日本のユーザ向けの出会い系サイトであるにもかかわらず、所在地が日本でないことは疑問視すべき点と言えます。また、特定商取引法により正式に許認可を得ているサイトの場合には「受理番号」の記載がありますが、確認した詐欺サイトにはありませんでした。
正規サイトの例:
今回確認した詐欺サイトの場合:
HTMLの分析
詐欺サイトでは、所在地や事業者名などの情報を表示するために画像ファイルを利用しています。このようにして、攻撃者は記載される重要な情報を漏れなくすばやく置き換えることを可能にしていると考えられます。
このように、インターネット利用者を不審なサイトへ誘導する攻撃は連日のように続いており、多くの利用者が誘導先へアクセスしてしまっている実態があります。ネットの危険を避けるためにも、メールやメッセージ内のリンクを安易にクリックしてアクセスしないようにしましょう。確認の必要がある場合には、必ず誘導先のURLをWeb検索などの方法で正規サイトであるか調べましょう。
■侵入の痕跡(Indicators of Compromise、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
参考記事:
- 「SMS Leads to Dating Site Scam, Targets Japanese Users」by Alex Chen
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)