2022年2月25日

NECサイバーセキュリティ戦略本部セキュリティ技術センターのA藤(ハンドルネーム)です。2022年1月27日にIPAで公表された「情報セキュリティ10大脅威 2022」のランキングを見ると、個人部門では昨年2位だった「フィッシングによる個人情報などの詐取」が1位に上がっていることがわかります[1]。手口の多様化や巧妙化が進むフィッシングには、知識や自衛が必要となります。その知識や自衛のための一助として、今回のブログでは銀行情報を窃取するようなフィッシングメールの構成について、私自身の手元にあるサンプルを参考に見ていきます。また、この確認を通して改めて、送られてくるメールに対して注意していただきたいと思っています。

序文：フィッシングとは

警視庁 [2]や総務省[3]のWebサイトに解説があるように、情報セキュリティにおけるフィッシングとは、クレジットカード会社や銀行などの企業を装って送られてくる偽のメールのことを指します。偽メールに記載されたURLを受信者がクリックするように誘導し、誘導先の悪意あるサーバ上でクレジットカードの番号やログイン情報(ID・パスワード)をユーザに入力させて、個人情報を窃取することを目的としています。ユーザに入力させた個人情報の窃取以外にも、偽メールに悪意のあるファイルを添付することで、受信者にマルウェアやランサムウェアに感染させるなどの攻撃手法も存在します。昨今、世間を騒がせているマルウェア「Emotet」もこの手口を主に利用しています[4]。また、Kaspersky社は、同社が2020年に行ったインシデントレスポンスにおいて企業ネットワーク環境への初期侵入経路で全体の約24%は悪意あるメールによって始まっていたと発表しています[5]。フィッシングメールを見破り、適切な対処を行うことは、被害を未然に防ぐうえでとても重要なことだといえます。総務省[3]のWebサイトにも記載がありますが、被害防止策を参考に対策を行ってください。

分析：サンプルを見てみる

作りが荒いフィッシングメールは、ヘッダ情報や文面から判別が可能です。また、Gmailなどでは、過去にフィッシングメール（迷惑メール）に分類されたものを学習し、以後自動的に振り分けてくれる機能があります。このようなフィッシングメール対策の機能が正しく動作すれば、大抵のフィッシングメールは迷惑メールボックスに移動され、悪意あるサーバへの誘導を防げるのではないでしょうか。とはいっても、フィッシングメール対策機能をすり抜ける可能性もあるため、不審なメールへの警戒は怠るべきではありません。
そこで、実際に筆者が受け取ったフィッシングメールを使用して、このようなメールの警戒すべき点を解説したいと思います。今回例示するメールは以下の3つです。
その1：銀行系の個人情報の窃取を狙うメール(ケース：明らかに怪しいリンク)
その2：クレジットカード系の個人情報の窃取を狙うメール(ケース：一見すると正規のものに見えるもの)
その3：偽の通販サイトへの誘導を狙うメール(ケース：スマホ上だとわかりにくいもの)
3つのメールを解説した後、予防策や情報収集についてもまとめています。

今回使用したフィッシングメールは特徴的なフィッシングキャンペーンで観測されたものではなく、たまたま筆者の手元にあったものを使用しています。

その1：銀行系の個人情報の窃取を狙うメール(ケース：明らかに怪しいリンク)

銀行を騙ったフィッシングメールです。「不適切なログインが検出」「お手続きはこちら」等の一見自然な文言で、メール受信者にURLをクリックさせようとしています。

実際にフィッシングメールのURLにアクセスをしてみると、以下の画像に示すとおり本物のようなWebサイトに繋がりますが、URLのドメイン部分がおかしいことが分かります。

ここから画面の案内に従いカードを選ぶと、

更に本物のようなWebサイトに飛びますが、お知らせ欄の掲載内容が半年程古く、正規のWebサイトのコピーを使いまわしているようにみえます(確認時は2022年1月下旬)。
ここからログイン以外のURLをクリックすると正規のWebサイトに転送されました。そのため、個人情報の窃取等の被害を受けたとしてもその被害に気づかないままの可能性もありそうです。

その2：クレジットカード系の個人情報の窃取を狙うメール(ケース：一見すると正規のものに見えるもの)

こちらも銀行系カードと同様に、「お取引の確認」といった文言でURLにアクセスさせようとしています。また、メール本文中に書かれているURLは、表示上は正規のURLに見えますが、アクセスすると実際には異なるURL（Webサイト）に誘導されます。

ＭHT形式は電子メールやWebページのHTML、イメージ画像、動画、音声などを一つのページでまとめるものです。
このサンプルでは、<a href=”フィッシングサイトのリンク先URL”>偽装するURL</a>の形式で書かれています。メール上の表示は攻撃者が偽装したいURL、すなわち正規のURLとし、実際にクリックした先に誘導されるリンク先URLは攻撃者が用意した悪意あるサーバ等となります。このように、メール上の表示URLと実際のリンク先URLが異なることにもご注意ください。

その3：偽の通販サイトへの誘導を狙うメール(ケース：スマホ上だとわかりにくいもの)
スマホでメールを表示させると、Figure7のようなリンクボタンがついていることがあります。スマホの仕様や設定によりますが、スマホではコピペなどでリンクボタン内のURLを確認することが通常難しく、2つ目の例で示した確認方法が使えないことがあります。Figure7では差出人も正規の企業を装っており誤認しやすいです。実際にはこのメールはフィッシングメールであり、リンク先URLも正規のWebサイトではありません。

Figure8は、VS code Email Viewerでフィッシングメールを読み取った画面です。リンクボタンをマウスオーバーしてみると、正規のURLに似せたドメイン(例えばwww.nec.comをwww.nex.comのように似せること)になっていました。また、このURLではco.jpではなく.xyzが使用されていることがわかります。

上記3つの例からわかるように、攻撃者は様々な手段を使ってユーザにURLをクリックさせ、個人情報を窃取するための悪意あるWebサイトへ誘導しようとします。また、かつてのフィッシングメールとは異なり、最近の文面は極端に日本語が奇異なものはなくなってきています。安易にメールに貼られたURLをクリックしないよう注意してください。

予防：フィッシングメールに騙されないために

対処方法：もし、個人情報を入力してしまったら

フィッシングサイトに個人情報などを入力してしまったことに気づいたら、フィッシング110番[10]などのサイトを参考にして、以下の対処を行ってください。

情報収集：フィッシング情報に関して

フィッシングメールに関する情報を収集し、公開している組織がいくつかあります。フィッシング対策協議会[11:HP][11:Twitter]、ばらまきメール回収の会[12]、電気通信大学 情報基盤センター[13:Twitter]などがあります。これらの組織が情報公開しているホームページやtwitterアカウントリンクをブログ下部参考情報[11]-[13]に載せています。ご参照ください。
また、これらの組織などでは情報収集の方法のひとつとして、フィッシングメールが届いた人からの報告があります。前述した組織(フィッシング対策協議会)や、フィッシング110番[10]、NTT Docomo 迷惑メール展[14]などがこの方法を使って収集しています。

おわりに

今回のブログでは、私宛に届いたフィッシングメールをサンプルとして、その具体的な中身について見てみました。フィッシングメール内に記載のURLの偽装は容易であり、一瞬では見分けがつかない巧妙なものも増えてきました。「予防」のところで述べた対策に加えて、銀行やクレジットカード会社へのアクセスは、メールに記載のURLをクリックするのではなく、正規のホームページからたどることもお勧めです。
昨今ではフィッシングメールに対して、各企業・組織で予防・対策の周知徹底が行われています。しかし、実際にフィッシング対策の演習などを行ってみると、IT関連部門の従業員でもフィッシングの影響を受けることがわかっています[15]。フィッシングに対して、知識はあるから大丈夫と驕らず気を付けることが大切と思っています。

参考情報

執筆者の他の記事を読む