Apple ID詐取を目的とした「フィッシングサイト構築キット」を確認

トレンドマイクロの脅威リサーチ部門であるフォワードルッキングスレットリサーチでは、「Apple ID」の詐取を狙うフィッシングサイトを構築する「フィッシングサイト構築キット」の存在を確認しました。Apple ID は、iTunes Store での購入、iCloud の使用、Appleサポートへのアクセスなど、Apple のすべてのサービスで利用可能なユーザアカウントであり、サイバー犯罪者にとって魅力的な情報の 1つと言えます。現に我々はこれまで幾度も、Apple ID を狙うフィッシングサイトの存在について確認してきました [1][2][3] 。

また、9月4日のブログ記事では、iCloud からの情報漏えい事例の原因の 1つとしてフィッシング詐欺の可能性を挙げていますが、実際に Apple ID など Apple 関連の情報を狙うフィッシング詐欺事例は 2014年に入り急増しています。今回の「フィッシングサイト構築キット」はこれらの攻撃の背景の 1つと言えます。

図1:Apple 関連情報の詐取を狙うフィッシングサイト数推移
図1:Apple 関連情報の詐取を狙うフィッシングサイト数推移

■Apple ID を狙うフィッシングサイトから「フィッシングキット」を発見
犯罪者はどのようにして、このようなフィッシングサイトを設置しているのでしょうか。多くの場合、管理が行き届いていない脆弱な Webサイトを改ざんし設置していることがほとんどです。今回、フィッシングサイト化されていた Webサイトでは、Webサーバが「Apache/2.2.16」と古いバージョンのままで運用されていました。

図2:Apple ID の詐取を狙うフィッシングサイト
図2:Apple ID の詐取を狙うフィッシングサイト

しかし、脆弱な Webサイトは、犯罪者にとってだけ有利な存在ではありませんでした。今回調査した改ざんサイトでは、認証なしで上位ディレクトリの情報が閲覧可能な設定となっていました。この設定が我々に犯罪者の痕跡を教えてくれました。我々は実際に上位ディレクトリの情報を調査した結果、思わぬ発見をしました。それがフィッシングキット「apple.zip」です。

図3:フィッシング化(改ざん)されたウェブサイトの親ディレクトリへ横断した結果
図3:フィッシング化(改ざん)されたウェブサイトの親ディレクトリへ横断した結果

■「フィッシングキット」の解析
早速、「apple.zip」を展開し中身を確認してみます。最初に目についたのは、「robots.txt」です。インターネット検索エンジンのロボットによって、フィッシングサイトがインデックスされないように拒否されていました。

次に注目したのは、「GeoIP.DAT」ファイル。図2 では、日本語化されたフィッシングサイトを紹介しました。実はこのフィッシングサイトはマルチランゲージ対応しています。接続元の IPアドレスに応じて適切な言語を表示するように設計されています。対応言語は 18カ国語でした。

図4:「apple.zip」を展開した様子
図4:「apple.zip」を展開した様子

図2 で示している画面は、「index.php」の Web上での表示です。「サインインをして Apple ID を確認」のボタンをクリックし、先へ進みましょう。
次に接続されるのは「step2.php」です。ここでは、名前、住所、クレジットカード情報、セキュリティの質問、誕生日、携帯電話番号が要求されます。これら情報が犯罪者の手に渡ればあらゆるオンライン詐欺で悪用される危険性があります。

図5:フィッシングサイトでは、クレジットカード情報などの機微な情報が要求される
図5:フィッシングサイトでは、クレジットカード情報などの機微な情報が要求される

こうして入力された情報はどのようにして犯罪者の元へ渡るのでしょうか。その答えは「checkout.php」ファイルに示されていました。
指定したメールアドレス宛にフィッシングサイトで入力された情報が送信されるように設定されていました。「PUT YOUR EMAIL HERE」のコメント文からは、「コードを書いた犯人」と「設置、運用を行う犯人」との分業化が行われている可能性が感じられます。

図6:「checkout.php」ファイルの内容。フィッシングサイトで入力された情報は指定したメールアドレス宛に送信される
図6:「checkout.php」ファイルの内容。フィッシングサイトで入力された情報は指定したメールアドレス宛に送信される。

今回の事例はあまりにもお粗末な気もします。一方で必ずしも高度な手法を使わずとも犯罪者の目的は達成可能であるとも言えます。

■フィッシング詐欺の被害にあわないために
サイバー空間で個人情報や決済などに関わる情報など大切な情報を入力するときには、最後にもう一度立ち止まって考える習慣を身につけるべきです。
Apple社のウェブサイトでは、EV-SSL サーバ電子証明書が使われています。このため、サイトの運営者がウェブブラウザのアドレスバー付近に表示されます。このことを知っていれば確認が確実かつ容易になります。

図7:正規サイトの表示例:EV-SSL サーバ電子証明書に対応している
図7:正規サイトの表示例:EV-SSL サーバ電子証明書に対応している

また、「パスワードマネージャー」のようなパスワード管理ツールは、指定されているサイト以外では認証処理を行わないため、確実に正しい URL へアクセスする補助としても利用できます。

フィッシング詐欺は、サービス事業者が詐欺行為に関与することはありません。したがって、被害の抑制は利用者自身にかかっていることを改めて認識してください。

正しく脅威の内容を理解することで、多くのオンライン詐欺から身を守ることが可能です。トレンドマイクロも参画しているフィッシング対策協議会が公表している「フィッシング対策ガイドライン」ではフィッシング詐欺への備え、フィッシング詐欺にあってしまった時の対処方法について案内されています。

この機会に一度参照されることをお勧めします。あとは安心してインターネットのサービスを楽しんでください。

Related posts:

  1. ロシアのアンダーグラウンドで活動するブラジル系サイバー犯罪者を確認。クレジットカード窃取に関与か
  2. ビットコインなど複数の仮想通貨発掘を行う不正アプリを正規マーケット上でも確認
  3. 少額決済システムを利用した詐欺を行うAndroid端末向け不正アプリ、台湾で拡散
  4. 「UPATRE」:2014年スパムメールにより最も多く拡散された不正プログラムに