フィッシング対策協議会は5月20日、「Carview(カービュー)」を騙って偽サイトに誘導しようとするフィッシングメールを確認したとして注意喚起を発表しています。
報告によれば、攻撃はフィッシングメールを端に発するもので、巧みなうたい文句でフィッシングサイトへ誘導しようと試みています。
 |
| 図1. 「Carview(カービュー)」に見せかけた偽サイト。ユーザ名やパスワードを入力させようとする。 |
フィッシングサイト「http://olympic.<省略>.ca/~aatomobi/used_car/304819200192211/」はCarview(カービュー)のデザインを完全にコピーしており、ページ中のいくつかのリンクは正規サイトへとつながっています。このため、見た目だけでの真偽の判断は困難といえます。また、フィッシングサイトのIPアドレス(69.90.{BLOCKED}.{BLOCKED})から、割当国がカナダであることが特定されています。
フィッシングサイト情報
| URL | http://olympic.<省略>.ca/~aatomobi/used_car/304819200192211/ |
| IPアドレス | 69.90.{BLOCKED}.{BLOCKED} |
| 所在地 | カナダ |
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「Webレピュテーション」技術により、いち早くその危険性を分析し、フィッシングサイトとしての分類を終えています。これにより、該当サイトに対する接続が行われた場合には接続をブロックする機能を提供しています。
 |
| 図2. 「Trend プロテクト」により、接続がブロックされているフィッシングサイト。「Webレピュテーション」を使用すると、危険なWebサイトへのアクセスをブロックできます。ユーザがWebサイトへの接続する際、まず評価サーバにそのWebサイトの評価値を問い合わせます。 |
フィッシングサイトは日本時間の5月21日11時30分現在、既に閉鎖されています(JPCERT/CCの報告によれば、日本時間の5月20日15時30分まで開設していたことが確認されています)。
 |
| 図3. フィッシングサイトは閉鎖され、「Account Suspended」ページ差し替えられている。 |
しかしながら、同様のサイトが別のサーバに設置されるなど、脅威はさらに広がる可能性も考えられます。、Carview(カービュー)を利用されている方は十分な警戒が必要といえそうです。また、フィッシングサイト開設期間中にCarview(カービュー)を利用された方は、パスワード変更を検討されることをお勧めします。
今回は、Carview(カービュー)のフィッシング被害に関して、ソーシャルエンジニアリング手法の一般的類型から分析してみたいと思います。
ソーシャルエンジニアリング手法類型評価
| 手口 | 使用有無 | 解説 |
| ネームドロップ | 有 | 「Carview(カービュー)」というネームバリュー(商標)にただ乗りした攻撃であると評価できます。 |
| ハリーアップ | 有 | フィッシングメール中に「3営業日以内にアクセスするように」との記載があったとされています。攻撃者は回答期限を迫ることで、被害者に余計な思考時間を与えないという効果を狙ったものと評価できます。 |
| フレンドシップ | 有 | 利用者は「Carview(カービュー)」を信頼できるパートナーだと意識し、サイトを利用しています。更にフィッシングメール中には「新着メッセージが届いている」と親切心を装った情報提供がなされていました。こうした信頼はフィッシング攻撃においては、脆弱な方向に作用する場合があります。 |
| ・ロングタイム ・テクニカルワード ・バッファオーバフロー |
無 | 今回の攻撃においてはその傾向の見られない手口です。これは「偽セキュリティソフト」や「グレーウェア」などにおいて、難解な利用同意書を提示し、インストールさせるといった手口として知られています。 |
| ギブアンドテイク | 無 | 今回の攻撃においてはその傾向の見られない手口です。これは「偽の懸賞サイト」などにおいて、商品と引き替えに、個人情報を引き出させるといった手口として知られています。 |
| ラストワン | 無 | 今回の攻撃においてはその傾向の見られない手口です。これは単調な質問の最後に機微な質問項目をもってくることで情報を引き出させるといった手口として知られています。 |
「フィッシングメールかな?」と思うような事例があった際には、是非この類型を思い出し、そのメールを見つめなおしてください。
なお、「Carview(カービュー)」の運営元である「tradecarview.com」では、過去のフィッシングサイト被害における不正メールの送信元アドレス情報(英語情報)を公開しています。こうした各事業者が発表するニュースリリースを確認しておくことも有効な対策の一つといえます。
「tradecarview.com」によるフィッシングサイトに関するニュースリリース
| 日付 | 件名 |
| 2009/08/20 | Important Notice of Fake Phishing Emails |
| 2009/11/19 | Important Notice of Fake Phishing Emails |