フィッシング
国内ネットバンキングの二要素認証を狙うフィッシングが激化
国内におけるフィッシング詐欺の状況については、これまでも四半期ごとの脅威動向レポート「セキュリティラウンドアップ」などで取り上げてまいりました。今回、フィッシング詐欺の攻撃の中でも、銀行などネットバンキングの認証情報の詐取、中でも特にワンタイムパスワードなど二要素認証の突破から不正送金を狙うと推測される巧妙な手口による攻撃の激化、拡大が見られているため、本記事にて注意喚起といたします。
国内におけるフィッシング詐欺の状況については、これまでも四半期ごとの脅威動向レポート「セキュリティラウンドアップ」などで取り上げてまいりました。今回、フィッシング詐欺の攻撃の中でも、銀行などネットバンキングの認証情報の詐取、中でも特にワンタイムパスワードなど二要素認証の突破から不正送金を狙うと推測される巧妙な手口による攻撃の激化、拡大が見られているため、本記事にて注意喚起といたします。
図1:メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)
この二要素認証突破の手口に関しては、上記のようにメールで通知されるワンタイムパスワードだけでなく、電話で通知するもの、暗証カードや専用機器を使用するものなど、様々な二要素認証を狙うフィッシングサイトを確認しています。このことからは、狙ったネットバンキングサイトの仕組みを調べた上で二要素認証の突破を図る、巧妙な攻撃であることがわかります。
図2:電話で通知される確認コードを入力させるフィッシングサイトの例(2019年9月確認)
図3:暗証カードで指定される第二暗証を入力させるフィッシングサイトの例(2019年9月確認)
このような国内ネットバンキングの二要素認証の突破を狙うフィッシングサイトを、トレンドマイクロでは2018年末ころから確認しています。2019年3月までには複数の金融機関のネットバンキングを詐取対象として拡大するなど、本格的な攻撃継続が見られました。フィッシングサイトへの誘導方法としては、一般的なフィッシングメールの他、SMSによる誘導、いわゆるスミッシングの手口が顕著になっています。
図4:フィッシングメールの例(2019年3月確認)
図5:フィッシングSMSのiPhoneでの表示例(2019年9月確認)
トレンドマイクロの監視によれば、このような二要素認証の突破を狙うフィッシングサイトについて、9月だけで94件の新規ドメイン登場を確認しています。これは平均して1日3件以上の新規ドメインが登場していることになりますが、それまでの1~8月の8か月間では216件の新規ドメインを確認、平均して1日1件弱の登場だったことと比べると、9月に入りサイバー犯罪者が明らかに攻撃を激化させてきているものと言えます。 8月以降に確認されたフィッシングサイトでは、JavaScriptやスタイルシート(CSS)の取得URLに「12345_files」や「yahulogin」などの特徴的な文字列を含むものを確認しています。この特徴からは、サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築していることが推測されます。また正規の発行元による有効な証明書を使用したHTTPSサイトも多くなってきています。このため、不審なサイトを見抜くための心がけとして以前に言われていたHTTPSかどうかの確認は、意味が薄くなってきています。 このようなフィッシングサイトに使用されるドメインについて、以前は「.com」、「.net」などの一般的なTLDの他、様々な国を表すccTLDが使用されていましたが、9月に登場した新規ドメインでは日本のccTLDである「.jp」を使用するものが7割弱を占めました。この.jpドメインの増加に伴って、以前はほぼすべての使用ドメインが海外のレジストラで取得されたものだった状況から、国内のレジストラで日本人名の名義で取得されたものが増加しています。 10月に入ってからはまた新たに特徴的な手口が確認されています。携帯電話事業者を偽装したSMSを発端とし、まず携帯電話事業者のWebサービスを偽装したフィッシングサイトへ誘導、そこでWebサービスの認証情報を詐取します。そののち、本人確認と称して利用銀行を選択させ、銀行のネットバンキングの認証情報詐取までを狙います。一度のフィッシングSMSで携帯電話事業のWebサービスとネットバンキング双方の二要素認証を突破する動きとなっており、利用者に大きな損害を与えかねない手口と言えます。
図6:携帯電話事業者からの連絡を偽装するSMSの例(2019年10月確認の内容を元に再構成)
図7:携帯電話事業者Webサービスの認証情報を詐取する フィッシングサイトの表示例(2019年10月確認)
図8:本人確認と称し利用者に使用銀行を選択させるフィッシングサイトの表示例(2019年10月確認)
図9:銀行選択後に誘導されるネットバンキングフィッシングサイトの表示例(2019年10月確認)
これらのことからもこの攻撃を行っているサイバー犯罪者は、日本を狙う攻撃に一層力を注ぎ、手法を変化させながら継続して攻撃を行っているものと言えます。今後もこのような二要素認証を突破するフィッシング手法を把握し騙されないよう意識するとともに、より巧妙な手法変化にも注意していく必要があります。
■被害に遭わないためには
このようなネットバンキングを狙うフィッシングサイトについては一般財団法人日本サイバー犯罪対策センター(JC3)からも注意喚起が出ておりますのでご参照ください。 特定の攻撃が拡大、激化してきている場合、その攻撃がサイバー犯罪者にとって「成果」の多い攻撃であるものと推測されます。被害の拡大を防ぐためにも手口を知り騙されないよう意識することが対策の1つになります。金融機関を詐称するメールやSMSを利用し、フィッシングサイトへ誘導する手口は拡大し常套手段化してきています。本文の内容や、メールの場合は送信元情報(From)に不審なところが無いかよく確認し、安易に本文内のURLにアクセスしないでください。しかし、これらのフィッシングメール(SMS)では、送信元情報は偽装が可能であることに加え、不審なものと気づけない巧妙な文面のものも多くなっています。本記事で紹介したようなフィッシングの手口があることを意識し、誘導先サイトのURLが該当金融機関の正規URLであるかどうかを確認してください。また、普段と異なるタイミングで二要素認証などの情報を求められた場合、いったん立ち止まってそのサイトのURLが正しいものかを再確認してください。自身が利用している金融機関については、事前に正しいURLをブックマークに登録し、ブックマークからのみアクセスするなどの心がけも有効です。
■トレンドマイクロの対策
トレンドマイクロでは、フィッシングサイトなどの不正サイトを「Web レピュテーション(WRS)」技術によりブロックします。また、フィッシングサイトへ誘導するフィッシングメールに関しては「E-Mail レピュテーション(ERS)」技術によりフィルタリングします。