情報セキュリティ 関連レポート

ソーシャルメディアリスク編 第五回(2014.1)

2014.01.22

1.フィッシング詐欺

 IDやパスワードを騙し取るフィッシング詐欺は、組織的な犯罪として近年検挙されるケースが増えている。フィッシング対策協議会への報告件数は、近年増加傾向にあり、2013年12月度は過去最大の1412件を記録している。12月は、11月と比較してフィッシングの報告件数が450件増加しており、これは、オンラインゲームや金融機関をかたるフィッシングが増加しているためとしている。その他には、クレジットカード会社、ISP(インターネットサービスプロバイダ)のWebメールやポータルサイトなどをかたるフィッシングを確認されている。

▼フィッシング対策協議会

※フィッシング詐欺とは
実在するオンラインバンキングやオンラインゲーム等の企業を装ってメールを送り、メールの受信者に、実在する企業の偽ウェブサイトにアクセスさせて、そのページにおいてクレジットカード番号やID・パスワード等を入力させるなどして、不正に個人情報等を入手する行為。
不正に入手した個人情報を悪用し、他人になりすまして買い物をしたり、インターネットバンキングからお金を引き出したりするなど、大きな問題となっている。
「フィッシング(phishing)」は「凝った(sophisticated)メールを餌としてバラまき、そこから個人情報を釣り上げる(fishing)」という意味の造語。

 フィッシング詐欺が増加している要因として、インターネットを介したサービス提供の普及が挙げられる。特に、金銭を扱うインターネットバンキングで使われるID・パスワードを狙うフィッシング詐欺が最も多い。2012年度のJPCERT/CCの報告書によると、約60%から75%が金融機関の偽のWebサイトを使う手口である。

▼JPCERTCC

 金融機関、Webメール、オンラインゲーム、ポータルサイトのID・パスワードは今後も狙われる可能性が高いため、企業や一般利用者としてもその管理について継続して注意が必要である。

2.ソーシャルメディアを介したフィッシング詐欺

 2013年は、あたかも実在するオンライン銀行の取引を装ったインターネット詐欺の被害が急増した。オンライン銀行詐欺ツールとよばれる不正プログラムを利用者のパソコンに感染させることで、正規銀行サイトを閲覧している利用者のパソコンに認証情報の入力を促す偽のポップアップ画面を表示したり、取引画面をキャプチャしたりといった複数の機能を利用して、入力された個人情報を盗み出す手口である。

 ネットバンク等を利用中、ログイン以外に認証情報の入力を促す画面が表示されたり、通常にない(不自然と感じる)情報の入力を求められた場合は注意が必要である。

 また、従来は電子メールを通じてインターネット利用者を誘導し、会員登録制サイトで利用料をだまし取っていた詐欺サイトへの入り口が、Facebook、TwitterやLINE、その他のソーシャルメディアにも拡がっている。内容も従来のサクラサイト詐欺では出会い系や儲け話(「必ず儲かります」「1億円差し上げます」など)の短絡的な手口が中心であったが、最近では、芸能人をはじめ、社長、弁護士、占い師など多様なサクラ(偽客)を騙る手口に変わってきている。

 重要・機微情報や金銭の詐取を目論む詐欺集団は、ソーシャルメディアを悪用し、より巧妙な手口でパソコンだけでなく、スマートフォンなどのモバイルユーザもターゲットにしていることに注意する必要がある。

【参考情報】
FacebookやTwitter、mixi、モバゲーなどのソーシャル・ネットワーキング・サービス(以下:SNS)で知り合った相手に、”デート商法”で「必ずもうかる」と持ちかけた商品を売りつけ、18府県の延べ約1000人から計約9億6000万円を詐取していた容疑者が逮捕。

 この他にも、最近の傾向として、夢見る若者たちを狙った「音楽制作請負振り込め詐欺」や「歌のレッスン振り込め詐欺」等、SNSを活用した犯罪が頻発している。

▼東スポWeb

3.犯行手口

 Yahoo!Japanを騙り、約1億円を荒稼ぎしていたフィッシング詐欺のケースでは、2010年10月から11年6月にかけて、アカウントの更新案内に見せかけ、約32万通のフィッシングメールを送信し、約2000件のクレジットカード情報を騙し取っていた。

 この犯行グループは、盗み出したクレジットカード情報を元に、ネットショップで高級家電を購入して転売したり、電子マネーを購入して現金化したり、コンビニで収入印紙を購入しては、金券ショップで換金していたとされている。

 犯行グループは、事件を取り仕切った主犯格の男やフィッシングメールの送信役のほか、電子マネーをチャージするために数百台の中古携帯電話の管理役等で構成されていた。

 その他にも、騙し取った家電等を受け取るために空き部屋を提供した男や、家電の受け取り役、モバイル通信サービスを契約するために身分証明書やクレジットカードを偽造したメンバーが摘発された。

 このケースではクレジットカードの情報が騙し取られたが、当然オンラインショップのIDやパスワードも狙われ詐取されることもある。オンラインのショッピングサイトでは、毎回クレジットカードの情報を入力しなくていいようにあらかじめ登録しているユーザーもたくさんいるはずである。こうした利用者のIDとパスワードを奪い、商品を購入して換金をおこなうのである。

4.フィッシング詐欺の技法①

 フィッシング詐欺では、偽サイトに誘導して有用な情報を騙し取るが、被害に気づかないよう、巧妙な騙しのテクニックが活用される。

 フィッシングサイトへ誘導するメールでは、いつも利用しているウェブサイトが「パスワードの有効期限が迫っています」「一時的サービスを停止します」「システム変更をおこないます」などとユーザーの不安を煽る内容が特徴である。(落ち着いて判断できないような切迫した状況に追い込む)

 そして問題を解決したいと思う利用者は、いち早くウェブサイトを確認したい一心から、メール本文やSNSのメッセージのリンクをクリックしてしまい、偽サイトへアクセスしてしまう。

 不安を煽る内容は、「アカウントの確認が必要」「不審なアクセスを検知した」「フィッシング詐欺に遭っている」「利用者規約違反があった」「課金による問題が発生した」などと多岐にわたり、実際に発生しそうな状況のメール本文やメッセージを用意している。

 さらに実際に存在する正規のメール文面をそのまま利用しているケースもあるため、内容からフィッシング攻撃であるかどうかの判断はつかないこともある。

 メールに記載されたURLにも注意が必要であり、HTML形式のメールを利用することで、メールの文面上に記載されている正規のURLとは、まったく異なるサイトへ誘導することが可能である。

 また、正規のサイトからデザインを盗んで利用している場合が多く、誘導先のフィッシングサイトも一見わからないことがある。

5.フィッシング詐欺の技法②

 ウェブサイトの住所を示すURLをアドレスバーでも、攻撃者・詐欺師は偽サイトと気づかれないよう酷似したドメインを利用している。

 たとえば、スクウェア・エニックス社を装ったフィッシング詐欺では、同社のドメインは、「square-enix.com」だが、ハイフンがない「squareenix.com」や「.com」の部分が異なる偽ドメインが偽サイトに利用された。さらに「i」を「l」や「j」と入れ替えた「aquare-enlx」や「square-enjx」など、そのやり口は非常に巧妙である。

 Twitter社「http://twitter.com」を装う偽ドメインでも同様の攻撃が確認されており、少なくとも以下のような5種類が出回っている。

      • tvvitter.com
      • twyitter.com
      • iwitter.com
      • tliwitter.com
      • twliitter.com

 こうした攻撃はこれまでも幾度となく繰り返されており、Twitter社以外の偽サイトも登場している。(「mixi」の偽物である「mixy」等)

 このようにソーシャルメディアツールもメールと同様に、フィッシング詐欺やマルウェア、スパム攻撃といったセキュリティ問題に見舞われるようになっている。こうしたソーシャルメディアのセキュリティ問題も、対処しなければならない新たな脆弱性を企業や組織に突き付けている。

6.詐欺行為への疑いを持つこと

 フィッシング詐欺などの行為に対して、官民ともに注意喚起や取り組みが継続されているが、今後もインターネットを介した詐欺は依然存在するものと考えられる。利用者は、重要・機微情報、金銭を騙し取られないように詐欺の手口やこの現状の認識することが重要になる。

 詐欺に遭わないための対策としては、

      • 金融機関や正規のサービス提供企業から送信された電子メールについて、内容を慎重に確認する。
      • メール本文内に記載されているURLに不用意にアクセスしない
      • 乱数表の数字、合言葉等の情報をすべて入力するよう求められても入力しない。
        ※インターネットバンキング等の金融機関が、これらの情報すべてを入力するよう求めることはない
      • 悪意あるWebサイトの閲覧を防止するような、ブラウザのアドオン機能や統合型セキュリティ対策ソフトを使用する。
      • パーソナルファイアウォールを適切に設定して使用する。
      • liC端末へのウィルス対策、OS/アプリケーションの脆弱性対策(アップデートの確実な実施)

 また、突然届いたメールやメッセージ内のリンクについては、たとえ知人・友人・家族からであっても、やみくもにクリックしないよう注意が必要である。中でも、SNSなどで文字数を減らすために利用される「短縮URL」のリンクは、正規URLが表示されないため注意が必要である。詐欺集団は、元のWebサイトのURLを隠ぺいする目的でこの仕組みを多用することもある。

 その他にもSNSに所属や肩書き、組織内の役割といった個人のプロフィール情報や、会社の理念、出張日程、技術、営業に関する情報等を掲載すれば、ソーシャルエンジニアリングやフィッシング詐欺の材料として、詐欺集団に使用される可能性があるということも注意すべきである。

 上記のように偽サイトへアクセスさせるための手口は巧妙化しているが、そもそもカード番号や暗証番号を入力するような依頼がメールでくることはないとの認識を持つ必要がある。もしそのようなメールが金融機関等から届いて不安になった場合は、送信元に電話で問い合わせたり、ホームページのお知らせ欄を見たりして、その情報(メールやメッセージ)の真偽を確認することが騙されないための方策として有効である。

Back to Top