迷惑SMSのURLにアクセスすると、どうなるのか
個人のスマートフォン宛に迷惑SMS(ショートメッセージサービス)が届きました。
私のスマートフォンはAndroid端末なのでGoogleが提供するスパム検出で、スパムとして検出されていたものですが、明らかに怪しいのでフィルタリングされていなかったとしてもすぐに迷惑SMSと気付けるものでした。
こちらがSMSの本文。
宅配便の不在通知を装うというオーソドックスな内容です。
ドメインに含まれる”t”, ”o”, “c”といった文字列がASCIIコードではなく、マルチバイトの文字列で記載されていました。これは、各種迷惑フィルタサービスなどをすり抜けるためではなかろうかと思われます。この様にURLに使用されない文字列を含む場合でもブラウザは、Unicode正規化をして正しいURLにとして解釈するので接続することが可能です。
この迷惑SMSに記載されていたURLに接続してみました。スマートフォンでサクッと接続してしまうと、どんな危険があるかわかりませんので、解析用に用意したWindowsのGoogle Chromeを使って接続してみます。
まず、普通にChromeを使って接続したところ、サーバからは404 エラーが返されました。これは、SMS経由なのでスマートフォンから接続されるはずのURLにPCからの接続したために発生したものと考えられます。この現象は非常に一般的な解析回避のための設定です。スマートフォンユーザをターゲットにした悪性サイト(SMSで配布した悪性URL)に通常はありえないPCからの接続があった場合、調査目的などの意図しない接続が行われていると判断してエラー等の応答を返す設定を行っていると考えられます。
続いて、Chromeの機能を使って、Android端末を装って接続してみました。今度は、以下の画面が表示されました。(Chromeの開発者ツールで、モバイル端末からの接続を模擬)
OKボタンを押すと”chrome.apk”という不審なAPK(プログラムの実行ファイル)をダウンロードする動作となりました。
”chrome.apk”をVirusTotal(https://www.virustotal.com/gui/home/upload)で確認したところマルウェアであることが判明しました。このAPKをインストールしてしまうと、スマートフォン内の情報を窃取されたり、迷惑SMSの送信元として悪用されたりする被害に合う可能性が高いと考えられます。(今回受信したSMSも一般の携帯電話番号から送付されており、マルウェア感染した被害者の端末から受信した可能性が高いと考えています)
さらに、Chromeの機能を使って、iPhone端末を装って接続してみました。今度は、以下の画面が表示されました。
OKボタンを押すと以下の様にApple IDを詐取するためのフィッシングサイトに転送されました。
iPhoneでは、正規のApp Store以外からアプリをインストールすることができないため、フィッシングサイトへ誘導してApple IDを詐取する攻撃を行うことがわかりました。
このフィッシングサイトは、近年、フィッシングサイトなどに悪用されることが多い無料のダイナミックDNSサービスのDuck DNSを使っていることが確認できます。Duck DNS自身は正規のサービスなのですが、無料でサブドメインを取得することができるため使い捨てのフィッシングサイトなどの作成に悪用されてしまうケースが多く、注意すべきドメインと言えます。
今回は、迷惑SMSのURLに接続すると何が起きるのかを実際に接続して確認してみました。今回確認された攻撃は、近年流行している、よく用いられる攻撃手法です。
この様な攻撃の被害に合わないためには、基本的にSMS記載されたURLに接続しないことが必要になります。
自分が普段利用しているサービスに関しては、ブラウザのブックマークから利用できる状態にしておき、SMSの通知があった場合にもブラウザのブックマークから利用するように心がけることが考えられます。
また、銀行・クレジットカード会社などでSMSによる通知を行っている場合には、正規のSMSの配信元、配信内容についての解説があることが一般的です。自分の利用するサービスがSMS配信を行っている場合は、これらの情報を確認できるようにしておき、SMSを受信した際に内容をチェックできるようにしておくことも有効です。
SMS配信情報の例
銀行
三井住友銀行:
https://qa.smbc.co.jp/faq/show/3341?category_id=1&site_domain=default
みずほ銀行:
https://www.faq.mizuhobank.co.jp/faq/show/6432?site_domain=default
クレジットカード会社
PayPayカード:
https://www.paypay-card.co.jp/company/info/000052.html
UCカード:
https://www2.uccard.co.jp/important/pop/20200814sms.html
また、SMSに限らず、メールや訪れたサイトで、アカウント情報の入力を求められる、アプリのインストールを促される等のケースは、正規サイトであっても、その指示に従うのが正しいのかを考えるといった慎重さが必要です。
さらに、各都道府県警にフィッシングサイトを通報するための窓口やフィッシング対策協議会、Googleなどが通報窓口を用意しています。フィッシングサイトを発見した場合、これらの窓口に通報することで、自身が被害に合わないだけでなく、他の利用者のために貢献することも可能となります。
警察庁 フィッシング110番
https://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
フィッシング対策協議会 フィッシングの報告
https://www.antiphishing.jp/registration.html
Google フィッシング詐欺の報告
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=JA
セキュアブレインは、Webサイトの安全性を無料でチェックする「gredでチェック」(https://check.gred.jp/ )を提供しています。「gredでチェック」は、セキュアブレインの解析エンジンが対象のウェブサイトのコンテンツを取得し、検査するウェブサイトがフィッシングサイトなど危険なサイトでないかを診断します。不審なサイトかもしれないと思ったら、アクセスする前に「gredでチェック」で、安全の確認をしてください。
