この6月に入り、官公庁や市町村のWebページの「偽サイト」が検索上位に登場するなどの報告が相次ぎ、15日にはNISC(内閣サイバーセキュリティセンター)から注意喚起が発出される事態となりました。トレンドマイクロでこれら「偽サイト」について調査したところ、問題のサイトは「プロキシ回避システム(Proxy Avoidance Websites)」の一種であると判明しました。プロキシ回避システムを原因とする偽サイト騒動は過去から何度も繰り返されてきました。しかし、今回の事例に関する調査の中では過去事例と異なり、オリジナルのサイトにはないJavaScriptを挿入するといった不審点も確認されました。本記事ではこの調査について報告いたします。
続きを読む2021年9月初め、中国のQ&Aサイト「知乎(Zhihu)」上であるユーザが、『検索エンジンで「iTerm2」というキーワードを検索した結果、正規サイト「iterm2.com」を偽装した「item2.net」という偽サイトに繋がった』と報告したことを確認しました(図1)。この偽サイト内に記載されているリンクからは、macOS向け端末エミュレータ「iTerm2」の偽バージョンがダウンロードされます。この偽アプリが起動されると、47[.]75[.]123[.]111から悪意のあるPythonスクリプト「g.py」をダウンロード・実行して、感染端末から個人情報を収集します。トレンドマイクロ製品ではiTerm2の偽バージョンを「TrojanSpy.MacOS.ZURU.A」として、悪意のあるスクリプトを「TrojanSpy.Python.ZURU.A」として検出します。
サイバー犯罪者は常に多数の注目が集まる話題を狙っています。コロナ禍によりワクチン接種の情報に多数の関心が集まっている中、厚生労働省のコロナワクチン情報サイトを偽装するフィッシング詐欺サイトを確認しました。本ブログ記事ではこの偽サイトについて報告します。偽サイトのデザインは厚生労働省の正規コロナワクチン情報サイトである「コロナワクチンナビ」の「ワクチンを受けるには」ページ(https://v-sys.mhlw.go.jp/flow/)をコピーしたものと考えられます。また偽サイトへの誘導経路としては自衛隊の大規模接種センターを騙るフィッシングメールが確認されており、防衛省からも注意喚起がなされています。
図:コロナワクチン情報の偽サイトの表示例
続きを読むトレンドマイクロは2020年5月以降、企業の経営幹部を標的とする高度化したフィッシングキャンペーンの追跡調査を行なっています。攻撃者はWebサイトを侵害してフィッシングサイトを構築し、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的に攻撃を行なっています。弊社が調査を行った時点でこの攻撃に関連する300以上のフィッシングサイトのURLを確認し、さらに8つのフィッシングサイトからは約70の被害者のメールアドレスと盗まれたパスワード情報を発見しました。トレンドマイクロでは国際刑事警察機構(INTERPOL)に情報提供を行うと同時に、協力してさらなる調査を進めています。本記事では、本フィッシングキャンペーンの手口や背後に潜む攻撃者・開発者について調査した結果をご紹介します。
続きを読むフィッシングは、インターネット上で最も長くサイバー犯罪者に利用されている詐欺手口の1つです。利用者を特定のWebページやサービスの偽サイトへ誘導し、利用者自らに情報を入力させて詐取します。フィッシングを含め、いわゆるネット詐欺では本物そっくりの「偽サイト」が使用されます。非常によく利用される手口のため、企業や個人ユーザは、認知の有無を問わず、おそらくはこれまでに多くのフィッシングページを目にしていることでしょう。2017年7月27日公開のブログ記事では、利用者がフィッシング攻撃を見抜くためのポイントについて解説しています。しかし、この他にどのような対策を講じれば、偽サイトを使用するフィッシング攻撃を、事前的かつ能動的に検出および阻止できるでしょうか?本記事ではドメイン名の仕組みについておさらいし、ゾーンファイルに含まれた不審なドメイン名の監視により特定法人組織を偽装するフィッシング攻撃を未然に防ぐ取り組みについて解説します。自組織の偽サイトに悩まされている法人利用者の参考にもなるでしょう。
続きを読むトレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、その中で非常に興味深い事例を確認しました。監視チームはあるWebサイトのコンテンツ内に、「Magecart」が使用する不正スクリプトが埋め込まれているのを発見しました。ECサイトを狙う攻撃で猛威を振るうMagecartについては昨年12月20日の記事などでも報告していますが、これも同様の攻撃の一事例と思われました。ただし、その被害を受けたと思しきサイトは「Olympic Tickets 2020」のサイト名で東京オリンピックのチケット販売サイトを名乗っていました。httpsの実装や「運営会社」の表示もあり、サイトを一見しただけでは不審点が見つけにくいものでしたが、海外で東京オリンピックのチケットを販売してよい業者は決まっています。また海外ではチケット転売に関してライセンス制を敷くなど合法な国も多いものですが、今回の東京オリンピックに関しては組織委員会が用意する公式リセールサービス以外での転売は禁じられています。これらのことから、このサイトはオリンピックチケット販売を詐称する偽サイトであるものと判断されました。本記事執筆時点の2月3日現在、既にこの偽サイトはアクセス不可になっていますが、今後も同様の事例が登場する可能性は高く、注意が必要です。
図1:Magecartの使用するスクリプトが発見されたWebサイト
海外では指定業者にしか許可されていないはずの
オリンピックチケット売買を謳っており、偽サイトと判断できる
図2:サイト上のGoogle翻訳機能で日本語化した際の表示例
これまでも本ブログで取り上げているように、「偽サイト」もしくは「なりすましECサイト」と呼ばれる詐欺目的の不正サイトによる被害が後を絶ちません。これらの詐欺サイトは一般的なオンラインショッピングサイトを偽装し、利用者を騙して金銭やクレジットカード情報を詐取します。今回トレンドマイクロでは iPhone のアクセサリー販売を偽装した詐欺サイトを確認しました。この詐欺サイトに関して調査を進めた結果、日本国内から少なくとも 6000以上の利用者が誘導されていたこと、この詐欺サイトを設置したサイバー犯罪者は今回確認された詐欺サイトも含めおよそ 7万件ものドメインを取得し悪用していたことが確認されました。
続きを読むPage 1 of 22
