フィッシング
各国の郵便サービスを偽装しカード情報を狙うフィッシング詐欺事例を解説
フィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。
フィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。トレンドマイクロでは昨年2020年末から、クレジットカード利用者を対象にした特定のフィッシングメールの攻撃キャンペーンに注目し、追跡しています。
このフィッシングキャンペーンの背後にいる攻撃者は、国営の郵便サービスによる配送に関連したフィッシングメールを送信し、利用者のクレジットカード番号を窃取します。送信されたフィッシングメールは、認証情報を詐取するためのフィッシングサイトへと利用者を誘導しようと試みます。この攻撃は、米国、スイス、中国、日本、シンガポールなど少なくとも26カ国に及ぶ広い範囲に送信されています。なお、このフィッシングキャンペーンについては、すでに香港の報道機関や米国でも報告されています。
2020年12月1日から2021年1月10日までの間に、郵便サービスを偽装する不審なフィッシング関連URL計279,308件(1日平均6,812件)が、トレンドマイクロのメール対策製品により検出されました。また、12月12日から18日までと、12月30日から1月5日までの期間において不審なURLの検出数が増加していることが確認されました。このようなデータからは、今後も郵便サービスを偽装するフィッシング攻撃が続くことが予想されます。
攻撃対象国は複数に及んでいますが、フィッシングページやメールの件名はどれも類似しています。特にフィッシングサイトに使用されている文言やHTML構造が似ています。このことから、これらのフィッシングサイトはフィッシングツールキットによって作成された可能性が高いと考えられます。ツールキットは、複数のフィッシングサイトを素早く作成できるなど、サイバー犯罪者が攻撃キャンペーンを効果的に展開できるよう設計されています。このようなツールキットはアンダーグラウンドフォーラムで販売されているためすぐに入手できます。フィッシングキットを利用すれば、プログラミングやマルウェアの知識を持たない攻撃者でもフィッシングキャンペーンを簡単に作成し展開することができます。
以下に、攻撃キャンペーンをフィッシングメールとフィッシングサイトの2つの要素に分けて解説します。
フィッシングメール
フィッシングメールは緊急性を持つ内容として作成されており、受信者にすぐに行動を起こすよう促します。ほとんどは「配送物に問題が発生した」といった内容が書かれており、受信者にボタンを選択させフィッシングページを開かせようとします。
以下の図2は、このようなフィッシングメールの例を示しています。
メール件名のほとんどには「your package」というキーワードが含まれています。ここでは緊急感を煽る文章によって受信者にメールを開封させようとする手口を使った見出しの例をいくつか紹介します。
- Your package could not be delivered on 05.01.2021
- 您的包裹無法在06.01.2021上交付 | Fwd: Your package cannot be delivered on
- RE: [ Important ] Your package xxxxx is waiting for delivery
- Shipping notification : Your package XXXXXXXXXX is ready for delivery
- Your package could not be delivered on 05/01/2021 because no customs duties were paid (MYR 31.66). Follow the instructions
- We tried to deliver your package today
- Last Reminder : Your package could not be delivered on 10.12.2020
- JapanРоstから、発送XXXXXXXXXXがまだご指示をお待ちしております
以下は、攻撃者がフィッシングキャンペーンで偽装する、世界各地の郵便サービス名一覧です。
| オーストラリア: Australia Post | オランダ: PostNL |
| ブラジル: Correios Post | ニュージーランド: New Zealand Post (NZ Post) |
| カナダ: Canada Post | フィリピン: PHL Post |
| チリ: Correos de Chile (aka CorreosChile) | ポルトガル: Correios de Portugal (Portugal CTT) |
| フィンランド: Posti | シンガポール: Singapore Post |
| フランス: Chrono Post | スロヴァキア: Slovakia Post |
| ドイツ: Deutsche Post | スウェーデン: Post Nord |
| 香港: Hong Kong Post | スイス: Swiss Post |
| アイルランド: An Post | 台湾: Chunghwa Post |
| イスラエル: Israel Post | トルコ: Posta ve Telgraf Teşkilatı (PTT) |
| 日本: Japan Post | 英国: Post Office |
| 韓国: Korea Post | アラブ首長国連邦: Emirates Post |
| マレーシア: Malaysia Post | 米国: United States Postal Service (USPS) |
表1:対象国とその郵便サービス
フィッシングサイト
フィッシングページのほとんどは類似の動作を実行します。以下に挙げるCanada Postの事例でその手口を説明します。
フィッシングメールの受信者がリンクをクリックすると、支払いのためのクレジットカード情報を要求するフィッシングページへと誘導されます。ページのレイアウトは、攻撃者がなりすます郵便サービスによって異なります。
ほとんどのリンクは選択可能となっているものの、"Pay and continue"(支払いをして続ける)以外のボタンは反応しません。図4の赤枠で囲まれた部分はリンクが有効ではありません。
フィッシングページは、利用者が入力したデータをすべて受け付けます。たとえ空白のフィールドに誤った情報や間違った形式の情報が入力されても、次のページに進むことができます。
利用者が「Pay and continue」ボタンを選択すると、入力された情報はpost方式で「send/index.php」に送信されます。
情報が送信されると、利用者は偽のローディング(読み込み中)ページへと誘導されます。そして、25秒後に自動的に次のページにリダイレクトされます。
以下は、25秒後に「/otp/」へとリダイレクトするコードです。
ローディングページの後、利用者に偽の確認ページが表示されます。「date(日付)」と「card number(カード番号)」は固定されており、変更されることはありません。「back(戻る)」ボタンや「new code(新しいコード)」ボタンは機能しません。
利用者が「Confirm(確認)」ボタンを選択すると、ページは「/send/sms1.php」にリダイレクトしますが、このページに接続すると「Page Not Found(ページが見つかりません)」というメッセージが表示されます。
フィッシングメールなどの詐欺による被害に遭わないためには
新型コロナウイルスの流行により小売業の状況は大きく変化しています。世界中の人々が、今や必需品の入手や通常の買い物を郵便サービスや宅配サービスに大きく依存するようになり、電子メールやオンライン決済サービスをより頻繁に利用するようになりました。サイバー犯罪者はこの状況を積極的に利用し、より多くのインターネット利用者を騙してクレジットカード情報を詐取しようとしていることが推察できます。「2020年上半期セキュリティラウンドアップ」でも説明されているように、電子メールは特によく利用される攻撃手段です。
ここでは、メールによるフィッシング詐欺を避けるためのベストプラクティスをいくつかご紹介します。
- メールの内容を十分確認する。メールアドレス、本文、リンクに一貫性がないなど不審な点がないか十分確認する
- メールのリンクを選択しクリックする場合は、リンク先のWebサイトを確認する。ホームに不審なコンテンツが表示されていないからといって、Webサイト全体が無害であるとは限らないことに留意する。サイト内で使用される定型文が、不審なコンテンツであることを示す場合がある
- 業務用のコンピュータでフィッシングや詐欺の疑いのあるメールを確認した場合は、すぐにセキュリティ担当者とITサービスに連絡する
- 組織では、セキュリティのベストプラクティスに従うことで、今回紹介したようなフィッシングキャンペーンによる被害を最小限に抑えることができます。最初に脅威が侵入するのを防ぐことで、被害を防ぐことができます。ここでは、推奨される一般的なセキュリティ対策をいくつか紹介します。
- 電子メールの安全性を確保する:メールセキュリティ対製品の導入は、スパムメールやフィッシングを介して配信される脅威を阻止し、また、ユーザが不審なメールや添付ファイルを開かないようにするために役立つ
- 定期的にファイルをバックアップする。最善の方法は、3-2-1ルールに従うこと。データのコピーを少なくとも3つ作成し、2つの異なるストレージ形式を使用し、少なくとも1つのコピーをオフサイトに配置する
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、偽サイトなど不正な Web サイトへのアクセスをブロックします。
法人向けセキュリティ製品では、メール対策製品「Trend Micro Cloud App Security™」や「Deep Discovery™ Email Inspector」においてWebレピュテーションとURL動的解析、機械学習を使用した不審メール検出技術により、電子メールレイヤーを保護します。メッセージ本文だけでなく、添付ファイル内の不審なコンテンツを検出できます。また、サンドボックスによるマルウェア解析とドキュメントエクスプロイト検出を提供することができます。
■侵入の痕跡(Indicator of Compromise、IoC)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
• 「Post Office Phishing Hits Credit Card Users in 26 Countries」
By Iris Huang, York Li, Trend Micro
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)
