ニュース 2019.02.15 最新フィッシング事情(2)「キャリア決済」は対策が奏功、活発化した銀行偽サイトの「不正送金」被害に注意
国内のユーザーを狙った1月のフィッシングは、すっかり定番化した4つのブランドのほかに、通信会社と銀行になりすましたSMSが頻繁にばらまかれました。騙されると金銭被害に直結する危険度の高いフィッシングで、実際に被害が多数出ているようです。
「キャリア決済」狙うフィッシングは対策奏功、しかし油断は禁物
携帯通信事業者を装うフィッシングや佐川急便を装うフィッシングでは、通信事業者が提供する「キャリア決済」がよく狙われました。このサービスは、対応サイトなどでクレジットカードのように決済に利用でき、利用分は月々の電話料金と一緒に引き落とされる仕組みです。
姿を消した代表的なフィッシング手口
キャリア決済狙いの代表的なフィッシングのひとつが、電話番号とSMSで届くコードを詐取する手口です。この2つの情報があれば、騙されたユーザーのキャリア決済を任意のApple IDの支払い方法に登録でき、App Store/iTunesで買い物ができたのです。約1年前から盛んに行われたフィッシングでしたが、何らかの対策が行われたようで、すっかり姿を消しました。
マイページに侵入する手口も「キャリア回線限定決済」で歯止め
通信事業者のマイページのアカウントに侵入する手口でも、キャリア決済が使い込まれる被害が多発しました。換金性の高いオンラインゲームのコインが購入されたようですが、決済をキャリア回線限定(Wi-Fiを切る)にするなどの対策が実施され、歯止めがかかったようです。Wi-Fi経由のアクセスと違い、キャリア回線経由では、通信事業者がアクセスしている自社のユーザーの端末を特定することができます。正当なユーザーの端末以外からのキャリア決済を排除すれば、不正利用が一掃されます。
NTTドコモの「d払い」不正利用も収束へ
NTTドコモのキャリア決済「d払い」は、街のお店でも利用することができます。昨年9月にはローソン、12月にはファミリーマートがd払いに対応し、使えるお店が一気に増えました。これに呼応するように、NTTドコモのdアカウントを狙うフィッシングが増え、店頭でd払いが不正に使われたという被害が、ネット上に投稿されるようになりました。
スマートフォンの「d払いアプリ」にdアカウントでログインすると、当人になりすまして店頭でd払いが使えるため、フィッシングの餌食になったのでしょう。d払いでは、クレジットカードと同様、換金性の高いプリペイド式の電子マネー(ギフトカード)を購入することはできませんが、それに準じた高額で換金性の高いタバコが、数万円単位で買われたようです。
NTTドコモは、d払いアプリの不正利用対策として1月22日より、ドコモ回線のユーザーが同アプリの初期設定や支払方法の変更を行う際に、ドコモ回線での接続を必須としました。前掲のオンラインゲームでの不正購入と同様の措置で、これが奏功したらしく、同社を装うフィッシングSMSのばらまきは収束しました。
「攻撃の本体」は健在
2月8日には、中国人グループによるd払いアプリを悪用した詐欺事件で、埼玉県警が中国籍の男女3人を逮捕したとの報道がありました。上述のようにフィッシングでキャリア決済が悪用されないよう対策が進み、実行犯の摘発もありました。しかし、フィッシングを仕掛けている本体はいまだ健在なので、まだまだ油断できません。
・auかんたん決済によるハンコイン購入について(ハンゲーム)
http://info.hangame.co.jp/index.nhn?m=detail&infono=13544
・【再開】ドコモケータイ払いによるハンコイン購入について(ハンゲーム)
http://info.hangame.co.jp/index.nhn?m=detail&infono=13178
・【再開】SoftBank Y!mobileまとめて支払い(ハンゲーム)
http://info.hangame.co.jp/index.nhn?m=detail&infono=13273
・d払いアプリ設定時の認証強化について(NTTドコモ)
https://service.smt.docomo.ne.jp/keitai_payment/info/info_20190121.html
「不正送金」狙うオンラインバンキングのフィッシング
2年ぶりに復活したオンラインバンキングの「不正送金」が目当てとみられるフィッシングが、1月に入ってからも頻繁に観測されました。前月から続く三井住友銀行に加え、短期間でしたがジャパンネット銀行も標的になりました。
同文SMSで誘導する偽サイト、営業は「9時から15時まで」
どちらも「注意:ダイレクトのパスワードが翌日に失効し、△△△△のメンテナンスサイト (URL)により、更新をお願いします。」という文面のSMSで誘導します。このフィッシングの特徴として、銀行の窓口業務と同じ「9時から15時の営業」という点があげられます。開店時刻の9時になるとSMSをばらまき、偽サイトへの誘導を開始、閉店時刻の15時までには偽サイトも閉店してしまいます。ジャパンネット銀行の偽サイトは、営業時間内に間に合わず、稼働中のものを確認できませんでしたが、わずか6時間の稼働では、同行やセキュリティソフトの対応も難しそうです。
裏で本物のオンラインバンキングを操作し不正送金
三井住友銀行の事例では、偽のログインページにログインすると、「第一暗証」というログイン用の4桁の暗証番号の変更を求めてきます。この変更手続では、最後にパスワードカードに表示されたワンタイムパスワードを入力させます。騙されてここまで入力してしまうと、裏で本物のオンラインバンキングを操作し、任意の口座に任意の金額を振込むことができます。振込先の口座には即時入金されるので、直ちに引き出したり、別の口座に振込んだりすることが可能になります。
ジャパンネット銀行を装うフィッシングも、おそらく同じ不正送金を狙ったものと思われますが、何らかの手を打ったのか三井住友銀行ほどは長続きせず、1月下旬の1週間だけで収束しました。三井住友銀行の方は、2月に入ってからも続いているので、被害が出ているおそれがあります。
・フィッシングメールによる不正送金(三井住友銀行)
https://www.smbc.co.jp/security/attention/phishingmail/
・ジャパンネット銀行を騙るフィッシングメール(SMS)にご注意ください
https://www.japannetbank.co.jp/news/general2019/190125.html
TEXT:現代フォーラム/鈴木直美
あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト
