GREDネット詐欺レポート(2022年10月)
セキュアブレインが運用する、無料のウェブセキュリティサービス「gred(グレッド)でチェック(http://check.gred.jp/)」で収集した情報を分析し、「GRED ネット詐欺レポート」としてまとめました。 「gredでチェック」は、インターネットユーザがウェブサイトの安全確認を行うことができる、無料のウェブセキュリティサービスです。確認したいウェブサイトのURLを入力するだけで、セキュアブレインが独自に開発した解析エンジンが短時間で解析し、そのウェブサイトが「安全(Safe)」か「危険(Danger)」を判断します。
gredでチェックが検知する悪質サイト
| 悪質サイトのカテゴリ | |
| フィッシング | 本物にそっくりな偽造Webサイトやあたかも普通の商品販売サイトに見えるサイトです。ユーザのIDやパスワードなどの個人情報やクレジットカード情報などを不正に取得します。 |
| ワンクリック詐欺 | サイト上のボタン等をクリックしただけで、契約が成立したように見せかけて、料金を請求する問題のあるWebサイト。 |
| ボーガスウェア | 偽ソフトウェア 実際には機能しない、偽物のソフトウェア(ボーガスウェア)を配布して、料金を請求しようとする問題のあるWebサイト。 |
| 不正改ざんサイト | サイトの脆弱性を突かれ、改ざんなどの攻撃をされてしまった状態になっているサイト。 |
| 不正攻撃サイト | 他のコンピュータに存在する脆弱性を突いて、攻撃を行う事を目的として作成された不正サイト。 |
| その他のマルウェア | ウイルス、ワーム、スパイウェア以外の不正プログラムです。 |
| Googleブラックリスト | GoogleのSafe Browsing API によってコンテンツが悪質の可能性(フィッシング)があると判定されたサイト。 |
gredでチェックが検知した悪質URLのカテゴリと検知数(2022年10月)
| 悪質サイトのカテゴリ | |
|---|---|
| フィッシング | |
| ワンクリック詐欺 | |
| ボーカスウェア | |
| 不正改ざんサイト | |
| 不正攻撃サイト | |
| その他のマルウェア | |
| Googleブラックリスト | |
| 合計 |
3か月間の推移
総評
今月もgredでチェックの検知数としては先月とほぼ同じくらいです。また先月に引き続き国税庁を騙るサイトの猛威や新規の銀行系のフィッシングサイトの立ち上げが見られました。
また国税庁の亜種としてPaidyの偽サイトが出現しています。手口は同じでポップアップを表示して未払料金の督促を行うものとなっています。金額も同じなのでほぼ使いまわしと思われます。今後、他のパターンも出てくる可能性があります。
Paidyのフィッシングサイト
先月のGREDレポートでも報告されている、通信会社を騙り偽のapkファイル(Androidのアプリケーションファイル)をダウンロードさせるサイトが細かく文言を変更して大量に発生しています。また、警察庁を騙り警告のポップアップを表示してセキュリティアプリをダウンロードさせる同様の手口のサイトも確認されています。こちらのケースでも今後、他のパターンが出てくるものと予想されます。
警察庁のフィッシングサイト
10/27のブログ(https://www.securebrain.co.jp/blog/2022/1027/ )で詳細が報告されていますが、YouTubeを起点としてスポーツや音楽イベントの動画配信を騙ったフィッシングが大量に発生しています。東京オリンピックの時に確認されたものと同じ手口で、当時は実際の情報入力画面は非日本語であったのですが、今回は日本語に対応しているため国内の被害が懸念されます。またYouTubeの動画紹介欄やコメント欄に誘導のURLが書かれており、かなり巧妙なやり方となっています。引き続き注意が必要です。
