フィッシング
iPhone セットが 100 円?不正広告で誘導する日本郵便を偽装した当選詐欺サイトを確認
トレンドマイクロでは日夜多くのサイバー攻撃を監視しています。その監視の中で、この 4 月 2 日前後から日本郵便を偽装する不審サイトを確認しました。この不審サイトは所謂「当選詐欺」サイトであり、最新スマートフォンの当選を理由に最終的に個人情報からクレジットカード情報までを入力させ、詐取することが目的と考えられます。
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この 4 月 2 日前後から日本郵便を偽装する不審サイトを確認しています。この不審サイトは所謂「当選詐欺」サイトであり、最新スマートフォンの当選を理由に最終的に個人情報からクレジットカード情報までを入力させ、詐取することが目的と考えられます。また、トレンドマイクロの調査の結果、この当選詐欺サイトへの主な誘導経路は不正広告であることも確認しました。
図1:今回確認された当選詐欺サイトの表示例(Android からアクセス)
正規サイトと誤解させるよう「post」という単語を入れたり、「.co.jp」と誤解させるよう「.co/jp」という文字列を URL に入れている
■「当選」で利用者の注意を引く詐欺サイト
このサイトにアクセスすると上図のようなスマートフォンの「獲得チャンス」に選ばれたという旨の表示のあと、アンケートの回答画面が表示されます。
図2:今回確認された当選詐欺サイトのアンケート画面の表示例(Windows からアクセス)
下部には本当にスマートフォンが入手できるようなコメントが表示されている
アンケートの内容は以下の 4 問です。すべてに回答するとスマートフォンの選択画面が表示されます。
1. 我々の郵便サービスを使用して何年になりますか?
2. どのくらいの頻度で郵便サービスを利用されますか?
3. あなたは私たちのサービスにどの程度満足していますか?
4. スマートフォンのためのあなたの好きな色は何ですか?
図4:アンケート回答後に表示されるスマートフォンの選択画面の表示例(iPhone からアクセス)
Galaxy S8 は残り 0 で選択不可になっているため、残りが 3 で選択可能な iPhone X の「今すぐゲット」をクリックすると、次の画面に遷移します。このような残り数の表示は「早く申し込まないと無くなってしまうかも」と利用者を焦らせて判断力を鈍らせる典型的な手法と言えます。
しかし次画面では、iPhone X を選択したはずなのに、なぜか iPhone 7 のセットが表示されます。このページには氏名、住所、電話番号などの個人情報の入力フォームがあり、あたかも表示されている iPhone7 のセットを 100 円で購入できるかのように見えます。ただし、この金額は場合によって異なり、トレンドマイクロの調査では 100 円~199 円までの幅での表示を確認しています。
図5:iPhone7 のセットが合計金額 100 円で購入できるように見える画面の表示例(Windows からアクセス)
しかし、ページ下部に目立たないように暗い色のフォントで記述されている説明文を読むと「表示されたキャンペーン商品の抽選に参加することができます」とあり、実際に 100 円で購入できるのは iPhone セットの「抽選権」であるように読めます。また、「この特典は 3 日間のトライアルで無制限のオンラインエンターテインメントがついてきます。そのトライアルの期間が終了すると、自動的に月額(¥8900)がお客様のクレジットカードから引き落としされます。何らかの理由で当社のサービスにご満足いただけない場合は、3日以内に退会することができます。退会されるまで毎月更新されます。」というように 100 円という表示につられて購入すると「3 日間のトライアル期間終了後」に自動的に月額 8,900 円の「無制限のオンラインエンターテイメント」に入会させられるように読めます。このサイトは全体的に不自然な日本語表現が多く、アクセスした利用者が不審に気づくポイントが多くありますが、中でもこの説明文は悪質な詐欺であることに気づける記述と言えます。
図6:「注文画面」の下部にわかりにくいように表示されている説明文(Windows からアクセス)
最終的に「100 円の支払い」の名目でクレジットカード情報を入力させます。CVV 番号も詐取しており、前画面で詐取した個人情報と合わせることによってカードが不正に利用される可能性が高いものと言えます。
図7:最終的に表示されるクレジットカード情報の入力画面の例(Windows からアクセス)
■世界的に繰り返されるネット詐欺手口
このような当選詐欺の類似手口は、以前から手を変え品を変え繰り返されているものと言えます。本ブログ上で取り上げた過去事例を見ただけでも、例えば、サイト上にいかにも当選者が賞品を入手できたようなコメントを表示する手口は2015 年の事例で既に見られています。また、当選表示からアンケートに回答させる手口は2016 年の事例で見られています。また、今回の事例も世界各国の郵便事業社を偽装するキャンペーンの一部であることがわかっています。特に日本のみを狙った攻撃というわけではありませんが、このような広く全世界に対して攻撃を行っているサイバー犯罪者の攻撃対象の中に日本が入っていることは認識すべきことと言えます。
図8:(左)2015 年の事例での「当選コメント」表示の例
(右)2016 年の事例でのアンケートページ上での「当選表示」
■誘導経路は不正広告
トレンドマイクロではこの当選詐欺サイトへの誘導経路として、正規サイト上に表示される不正広告を確認しています。誘導が確認されたサイトの 1 つは海外の正規TV情報サイトでしたが、Internet Explorer でアクセスした場合には自動的に、Chrome など他のブラウザでアクセスした場合はサイト上をクリックした際に今回確認された当選詐欺サイトのページが別 Window として開かれます。
図9:不正広告による当選詐欺への誘導が確認された海外正規サイトの例
トレンドマイクロではこの当選詐欺サイトをホストするドメインとして、現在のところ、3 種を確認しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の統計によれば、確認された 3 種のドメインに対し、3/26~4/2 までの 1 週間で 2,500 件以上のアクセスが日本からあったことを確認しています。このような不正サイトはセキュリティベンダによる対策を免れるため、新たな URL に移行していく手口が常套手段となっており、今後も新たなドメインへ移動していくものと推測されます。
フィッシング詐欺、サポート詐欺、当選詐欺、アンケート詐欺など、日本語表示により日本のインターネット利用者を狙う様々なネット詐欺の手口が確認されています。新たな脅威が次々に登場するように思えますが、実態を解析すれば以前からの手口が繰り返されているだけであることも多くなっています。インターネット利用者から金銭や情報の詐取を目論むサイバー犯罪者は後を絶ちません。ネット詐欺の様々な手口を知り、騙されないようにする注意が必要です。
■被害に遭わないためには
サイバー犯罪者はインターネット利用者の金銭や個人情報を狙い、次々と新しい手口を繰り出しています。これに対し、利用者は今回のようなネット詐欺の最新手口を知り、だまされないようにすることが重要です。賞品の当選などで利用者の注意を引く手口は詐欺の基本と言えます。ネット上での行動の際には、最後にもう一度立ち止まって考える習慣を身につけてください。もちろん、心がけだけでは見抜けない巧妙な手口も増えているため、セキュリティ対策製品を導入して守ることも必要です。
■トレンドマイクロの対策
今回の攻撃で確認された詐欺サイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS 技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品によって、LAN 内全体からの不正サイトへのアクセスを一括してブロックすることができます。
※調査協力:秋保 陽介(日本リージョナルトレンドラボ)