フィッシング事例の調査結果
フィッシングが増加しているという報道が絶えることが無いように思われます。普段、筆者が個人で使用しているWebメールにフィッシングメールが届くことは非常に少ないのですが、先日、大手交通サービスサイトを騙ったフィッシングメールが1件、銀行を騙ったフィッシングメールが2件、数日間立て続けに迷惑メールフィルタにもかからず、受信フォルダに到達していました。普段、フィッシングメールがほとんど届かない筆者のアドレスにも到達するほどフィッシングメールがバラ撒かれているのかと苦々しく思いました。
前置きはさておき、今回は、筆者宛に届いた大手交通サービスサイトを騙ったフィッシングメールの調査結果についてご説明します。
1.フィッシングメールの特徴
まず、フィッシングメールの特徴ですが、サービスリニューアルに伴い、遊休アカウントを自動退会すると騙ってログインを促す内容です。この様に、すぐにログインをしないとアカウントが停止してしまうというような状況を装うことは、フィッシングメール全般によく見られる行為です。また、ログイン画面へ遷移させるURLもHTMLメールでLink先のURLかすぐに確認できないという点もフィッシングメールで一般的に用いられる手法です。
また、メールのヘッダに注目すると、SPF、DKIM、DMARCいずれもPASSしていることを確認しました。SPF、DKIM、DMARCはいずれも送信ドメイン認証技術(※)で、送信元を偽装したなりすましメールの防止に高い効果を発揮します。攻撃者が、この様な送信ドメイン認証を自らの送信ドメインに用いる狙いは、フィルタリングサービスの回避を目的としていると考えられます。多くのサービス事業者がSPF、DKIM、DMARCなどの送信ドメイン認証技術を適用しているため、攻撃者も自身の送信ドメインにこれらの送信ドメイン認証技術を適用することで、怪しさを低減させてフィルタリングサービスを回避させることを狙っていると思われます。今回紹介したフィッシングメール以外でも、SPFのみを適用しているもの、SPFとDMARCを適用しているものなどが多数確認されています。
SPF、DKIM、DMARCなどを導入しただけで全てのフィルタサービスを回避できるわけではありませんが、様々な手法でメールを利用者に到達させようとしていることが伺えます。
※なりすまし送信メール対策について:
https://www.antiphishing.jp/enterprise/domain_authentication.html
2.フィッシングサイトについて
フィッシングサイトにアクセスしてみると、正規サイトをコピーして作成されたと思われるログイン画面が表示されます。このログイン画面では、ID・パスワードの入力欄とログインボタン以外のLinkは全て正規サイトのモノになっており、正規サイトをコピーして情報盗取に必要な箇所を改変して作成されていることが分かります。
偽のID・パスワードを入力してログインボタンを押下すると、
●氏名、住所、電話番号の詐取をする画面
●クレジットカード情報の詐取をする画面
と順に情報を詐取する画面へ遷移します。
更に、ダミーのクレジットカード情報を入力すると、クレジットカード会社が提供する本人認証サービス(3Dセキュア)を模倣した認証画面が表示されました。
この様に、フィッシング等によるクレジットカード情報の盗用が続いているため、対策として導入されつつある本人認証サービス(3Dセキュア)を詐取する攻撃が行われていることが確認できました。なお、対策として固定の認証情報による本人認証ではなく、SMS等を介したワンタイムパスワードを用いた本人認証サービス(3Dセキュア)の導入なども進められています。この認証サービス(3Dセキュア)の画面は、認証情報の入力の有無に関わらず、以下のエラーと共に「クレジットカード情報の入力」の画面を表示することが確認されました。
これは、1度の攻撃で複数のクレジットカード情報の詐取を試みている可能性があると考えられます。
3.対策について
今回は、具体的なフィッシングメールとフィッシングサイトについて調査結果の概要をお伝えしました。
攻撃者が、フィッシングメールを利用者に到達させるための工夫をしていることやフィッシングフィッシングサイトで様々な情報を一度に取得することを狙っていることが分かります。
対策についてご説明します。
利用者視点の対策は、何度も繰り返しになりますが、
(1)メール、SMSのリンクは開かない
(2)利用するWebサービスは、予め登録したブックマークや正規のスマホアプリから利用するということです。
非常にシンプルですが正規Webサービスに確実にアクセスするルートを確保しておくことでフィッシングサイトに誘導される可能性を格段に減らすことが可能です。
また、多くのWebサービスでは、フィッシング等の攻撃に関する注意喚起を行っています。
例えば、今回取り上げたフィッシングの事例に関しては、Webサービス自体の注意喚起に加えて多数のネットメディアでNewsとして取り上げられていました。
また、WebサービスのQAには、
●自動退会の処理はあるが、事前に通知することはないこと
●自動退会後の通知メールにURLの記載はないこと
が記載されています。これらの情報を予め知っていれば、同様の手口による被害に遭う確率を格段に減らすことが可能です。
しかし、自分の利用するサービス全ての注意喚起に常に気をつけて生活することは難しいので、「正規Webサービスに確実にアクセスするルートを確保する」ということを徹底することが一番の対策です。
事業者視点の対策は、攻撃者がSPF、DKIM、DMARCなどの送信ドメイン認証を行っている点は、前述の通りです。しかし、これらは、なりすましメールが無くなったことを意味してはいません。
そこで、
●SPF、DKIM、DMARCなどの送信元ドメイン認証を導入し、なりすましメール対策をすると共に自身のメールの信頼度を向上する
●認証済メールに自社ブランドロゴが表示されるBIMIを導入する
といった、メールの信頼度を向上する取り組みに加えて、「利用者への積極的な注意喚起」が必要です。
しかし、ID・パスワード等の詐取を完全に防ぐことは困難です。そこで、詐取されたID・パスワードを利用したなりすましログインに対する事後の対策も必要となります。なりすましログインを防ぐことで、詐取された情報の不正利用、金銭的な被害の防止につながり、攻撃者のモチベーション低下につながると考えられます。
メールなどの入口対策、詐取された情報の不正利用防止の出口対策など多層的な防御で被害を防止する必要があります。
セキュアブレインは、不正送金・フィッシング対策として「PhishWall(フィッシュウォール)プレミアム」 を提供しています。金融機関の顧客に無料配布される「PhishWallクライアント」は、顧客のPC側から、アクセスした企業のWebサイトが真正なサイトであることを証明します。真正な場合、顧客のPCのブラウザに緑のシグナルが点灯し、ひと目でそのWebサイトが本物であることが確認できます。また、顧客が「PhishWallプレミアム」導入企業のWebサイトをブラウザでアクセスするタイミングで、顧客のPCがMITB(マン・イン・ザ・ブラウザ)攻撃型ウイルスに感染していないかをチェックします。感染の徴候を発見した場合は、赤のシグナルと、警告メッセージを表示し、不正な画面への入力を防ぎます。
またWebサイトの安全性を判定するツールとして「gredでチェック」を無料提供しています。「gredでチェック」(https://check.gred.jp/ )にアクセスしていただき、不審なサイトのURLを入力すると、セキュアブレインの解析エンジンが対象のWebサイトのコンテンツを取得し、検査するWebサイトがフィッシングサイトなど危険なサイトでないかを診断します。不審なサイトかもしれないと思ったら、アクセスする前に「gredでチェック」で、安全の確認をしてください。
先に述べた対策に加え、これらの無料ツールを利用して、フィッシング詐欺にあわないよう心がけてください。