モバイル端末を狙うフィッシング攻撃、政府発行IDのコピーを要求

トレンドマイクロは、2013年8月5日、「マスターキー」として話題になっている Android端末に存在する脆弱性を突き、モバイル端末用のオンラインバンキング専用アプリを利用して攻撃を仕掛ける脅威について報告しました。今回、弊社は、モバイル端末ユーザを狙うフィッシング攻撃を確認。この攻撃により、ユーザは、ログイン情報が収集されるだけでなく、政府発行の身分証明書や ID のコピーをアップロードするように促されることになります。

今回のフィッシング攻撃は、まず典型的なフィッシング攻撃から仕掛けられます。正規のモバイル専用オンラインバンキングのログインページになりすまし、正規ログインサイトの URL に非常に似せた URL を利用します。

このように正規ログインサイトに類似している一方で、注目すべき相違点がいくつか確認されています。その 1つが SSLプロトコルです。問題の偽ログインサイトは、通常のセキュリティ上のシンボルマークを保持しておらず、Webサイトの安全性を示すプロトコル「HTTPS://」を利用していません。また、サイトの表面上の違いは以下のとおりとなります。

図1:正規のログインサイト(左)と正規Webサイトになりすましたフィッシングサイト(右)>
図1:正規のログインページ(左)と正規Webサイトになりすましたフィッシングページ(右)

今回のフィッシング攻撃は、ログインページから既に始まっており、ユーザは、ログイン情報の入力を求められることになります。しかし、これでフィッシング攻撃は終わりません。ユーザは、誤ってログイン情報を入力してしまった場合、他の偽ページへと誘導させられ、Eメールアドレスおよびパスワードを入力するように促されます。これは、ユーザがログイン情報を変更することで自身のアカウントを復旧しようとした際に、サイバー犯罪者に通知され、彼らが一旦収集したアカウントに再びアクセスできるようにするためだと考えられます。

図2:Eメールアドレス入力を求めるフィッシングページ>
図2:Eメールアドレス入力を求めるフィッシングページ

今回の攻撃は、上述の情報を収集するだけに留まりません。このフィッシング攻撃を仕掛けるサイバー犯罪者は、さらなる他の偽ページにユーザを誘導し、政府発行の身分証明書のコピーをアップロードするように促すのです。

図2:Eメールアドレス入力を求めるフィッシングページ>
図3:政府発行の身分証明証のアップロードを求めるフィッシングページ

万が一身分証明証のコピーを提供してしまった場合、次の手順に進むよう「Continue」のボタンをクリックするように促されますが、このリンクは、リンク切れの Webサイトに誘導します。

今回のフィッシングの手法は、前代未聞の事例となります。サイバー犯罪者は、ユーザの銀行の口座情報やEメールアドレスにアクセスするだけでなく、ユーザの身分証明書も手に入れるのです。サイバー犯罪者の手に渡った身分証明書の情報は、なりすまし犯罪を含む詐欺などあらゆるサイバー犯罪に悪用される恐れがあります。

フィッシング攻撃で実際の身分証明書のコピーを要求する事例は初めてとなりますが、こうした情報の売買は目新しいことではありません。トレンドマイクロでは、2012年10月末、ロシアに拠点を置くサイバー犯罪関連アンダーグラウンドの実態を解説したリサーチペーパ「Russian Underground 101(英語情報)」を公開しましたが、このペーパで身分証明証などの文書のコピーが利益目的だけでなくなりすまし犯罪に悪用されるために、どのように売買されているかを言及しています。こうした身分証明書のコピーは、2米ドルから 25米ドル(2013年8月14日時点、約195円から2447円)の間で販売されており、価格は文書の種類により異なります。売買される文書は、身分証明書、パスポートおよび労働ビザなどとなります。

モバイル端末を狙うフィッシング攻撃は増加の一途をたどっています。弊社は、2013年1月初め、サイバー犯罪者がモバイルのプラットフォームが抱える制限をどのように悪用するか、また、同年 2月、モバイル端末を狙うフィッシング攻撃について報告しています。例えば、モバイル端末の小さい画面サイズを利用して、URL やセキュリティ上のシンボルマークを隠ぺいする事例が確認されています。現在のスマートフォンの人気や、通常デスクトップで作業していた業務がスマートフォン上で十分こなせる状況を考慮すると、サイバー犯罪者がこうしたプラットフォームを悪用してさらなる被害者を獲得し、個人情報を収集することは意外なことではありません。

トレンドマイクロでは、こうしたサイバー犯罪から自身を守るために、以下について心がけるとこをお勧めします。

  • ブックマークの活用:頻繁に閲覧する Webサイトは、ブックマークしておくことを推奨します。これにより、URL のアドレスバー入力で起こりうるタイプミスが発端となりフィッシングサイトに誤って誘導されるのを事前に防ぐことができます。
  • まずは必ず確認:ユーザは、万が一、オンラインバンキングといった金融機関などの取引をする際、その手続きにおいて予期しなかったり不審な場面に遭遇した場合、まずは必ず確認することを強く推奨します。
  • セキュリティ製品の活用:セキュリティ製品はフィッシングサイトなど不審なサイトをただちにブロックします。これにより、誤って不正な Webサイトにアクセスすることを防ぐことができます。
  • トレンドマイクロ製品をご利用のお客様は、「ウイルスバスター モバイル for Android」「Trend Micro Mobile Security」により守られています。また、、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。

    参考記事:

  • Mobile Phishing Attack Asks for Users’ Government IDs
     by Arabelle Mae Ebora (Fraud Analyst)
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)