偽造SMSを使った新フィッシングの手口が増加中!その対策とは?

f:id:PentaSecurity:20190829135538j:plain

 

 偽造SMSを使った新フィッシングの手口が増加中!

その対策とは?


SMSの悪用が活発化し、フィッシング攻撃が過去最大の件数になったことが8月2日、フィッシング対策協議会より発表されました。同協議会に寄せられたフィッシング報告件数は、前月の3,788件より増加し4,322件となるなど増加し続けています。誘導先のフィッシングサイトでは金融機関の認証情報、クレジットカード情報などの入力を求められ、大切な個人情報が抜き取られてしまいます。今回は昔からあるフィッシングという攻撃について詳しくまとめ、現在行われている新たな手法の解説、被害にあわないための対策についてみていきたいと思います。

 

フィッシングとは

「フィッシング 」(Phishing) とは、金融機関 (銀行やクレジットカード会社) などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為です。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。

 

従来の手口としては、クレジットカード会社や銀行などを巧妙に騙ったメールを送り付け、情報確認のため等と称して偽装されたURLをクリックさせます。誘導先のウェブサイトは本物のサイトそっくりにつくられているため、ユーザーが気が付かずに自分のIDやパスワードを入力し、その情報が盗み取られてしまうというものです。

 

URLが正しいかどうか気を付けていれば大丈夫と思うかもしれませんが、さらに巧妙化した手口では、正しい URL を入力しても、自動的に偽のサイトに誘導して個人情報を詐取する「ファーミング」という悪質な手法もあります。ファーミング詐欺の犯人は、ウィルスやワームを使って利用者のコンピュータの hosts ファイルを書き換えたり、 DNS サーバに虚偽の情報を書き込んだりすることによって、利用者が URL を入力して正規のサイトにアクセスしようとする際に偽サイトに誘導しようとします。ユーザーは正しいアドレスが表示されているので偽サイトとは気が付かずに利用してしまい、情報を盗み取られてしまいます。フィッシングは不特定多数を対象にしているものがほとんどですが、特定の団体や個人を狙ったものもあり、「スピアフィッシング」と呼ばれています。

 

 

 増加が止まらないフィッシング被害

フィッシング対策協議会の月例報告書「2019/07 フィッシング報告状況」は、前述したように4,322件の報告が寄せられ、被害件数が過去最大になったことが報告されています。さらにフィッシングサイトのURL件数(重複なし)は、前月の1,460件より増加し2,189件で大幅な増加をみせました。

 

フィッシングに悪用されたブランド件数(海外含む)においても6月の50件から61件と増加し、AmazonApple、LINE、ゆうちょ銀行、楽天等よく知られた大企業の名前が利用されています。偽サイトで誤って情報を入力してしまった結果、不正なキャリア決済などの被害に遭う可能性があります。

 

新たなフィッシングの手口、偽装SMS

これまでの主な手口はメールが使われていましたが、2018年には、宅配業者の偽装SMSを発端とした偽装SMSによるスマートフォンへの攻撃が観測されました。

 

SMS詐欺

引用:https://news.yahoo.co.jp/byline/kandatoshiaki/20180118-00080567/

 

偽装SMSとは、上記のようなSMSが自分のスマートフォンや携帯電話に届き、クリックすると、下記のような宅配業者のページにそっくりな偽サイトに飛ばされます。

 

フィッシング偽造

引用:https://news.yahoo.co.jp/byline/kandatoshiaki/20180118-00080567/

 

Android端末だけでなく、iPhoneなどiOS端末でアクセスした場合にもフィッシングサイトへ誘導する動きも確認されています。スマートフォンを中心としたモバイル機器全体を狙う攻撃は広がりをみせ、誘導先のウェブサイトも宅配業者以外に、携帯電話事業者など変化をみせています。

 

また、不正サイトでギフト券プレゼント等のキャンペーンを行い、最終的にバックドア型不正アプリの拡散を目的としています。アクセスした端末のOSを自動判定し、Androidだった場合には不正アプリをダウンロードさせ、iOSの場合には不正プロファイルのインストールからフィッシングサイトへの誘導を行います。

 

もしも不正アプリをダウンロードしてしまった場合、以下の情報が自分の端末から流出してしまいます。

 

  • 携帯電話番号
  • 端末 ID
  • 使用 SDK バージョン
  • 製造者情報
  • ブルートゥース上の表示名
  • 自身の感染日時
  • 自身の端末管理者権限の有無
  • 画面ロックの有無
  • 国内の主要キャリア(ソフトバンク、ドコモ、AU)製アプリのインストール有無
  • 画面をロックし、パスワードを「778877」にリセットする
  • 端末の管理者権限を得る
  • 「連絡先」の情報を収集し、外部にアップロードする
  • SMS や MMS の内容を取得し、外部にアップロードする
  • 他の不正アプリをダウンロードする
  • 既にインストールされている正規アプリをアンインストールし、他の不正アプリと置き換える 音量とミュートの操作
  • ファイルの削除

引用:http://blog.trendmicro.co.jp/archives/16787

 

増加の背景には拡散される不正アプリ(「AndroidOS_FakeSpy」、「AndroidOS_Xloader」等)に、アプリ自身が SMS の送信を行う活動が追加されたことが関係していると推測されています。不正アプリは実行されると 30 秒ごとに遠隔操作用サーバ(C&C サーバ)に接続します。そして、C&C サーバから SMS の送信先電話番号とメッセージ本文のデータを受け取ると、感染端末上から偽装 SMS を送信します。一度自分が不正アプリをインストールさしてしまうと、自らも偽装SMSを知らないうちに発信し、フィッシングを拡散してしまうことになり得ます。

 

被害に遭わないために

スパムメールや偽装SMSなどで偽サイトへ誘導するフィッシングでは、メールやSMS内のURL はリンク先をよく確認してからアクセスするようにします。わざと短縮URLにしてアドレスがわかりづらくしているものもありますが、アクセス後にブラウザ上で表示されているURLが正規のものかどうかよく確認するようにします。また電子メールに書いてあるURLをクリックしてアクセスするのではなく、契約時に通知されているURLを直接入力すること、ウェブブラウザのアドレス欄の左端にある鍵のアイコンをクリックして表示される証明書から、アクセスしようとしている企業のウェブサイトかを確認することが必要となります。

 

SMSから誘導先のサイトに来てしまった場合、アプリのダウンロードを促される場合があります。スマートフォンの初期設定では、このような警告が出されることになっているので無用に警告を無視してインストールしてしまわないように気を付けましょう。

 

Androidの場合

Android フィッシング

 

iOSの場合

IOS警告メッセージ

 

Android 端末では、セキュリティ設定の「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことで、正規マーケットである Google Play 以外からの不用意なアプリのインストールから端末を保護できます。意識して信頼できるアプリをインストールする場合にのみ、「提供元不明のアプリのインストールを許可する」の設定を有効にしてインストールを行うようにしましょう。もし、不正アプリをインストールした場合は、すぐにスマートフォン機内モードに切り替えて通信を無効化し、同アプリのアンインストールを行うようにします。

 

メールアカウントを乗っ取ってフィッシングメールを送信しているとみられるケースも数多く確認されているとのことです。身に覚えのない送信エラーメールを受信した場合は、メールアカウントのパスワードを変更し、メール送信履歴等を確認しましょう。

 

そもそも金融機関では口座番号や暗証番号を電子メールで問い合わせることはありません。フィッシング対策協議会のHPでは随時フィッシングメールの件名や内容等が緊急情報として発信されています。そうした正しい知識をもち、日ごろから現在行われている攻撃の手法等セキュリティ情報に敏感になっておくことで防衛できる可能性が高まります。