事例Use case

偽佐川、偽ドコモ、偽アマゾン----偽サイトとマルウェアからあなたの家族をどう守る?

2019.5.24

ツイート シェア 送る はてブ

最近、皆さんのところに不審な迷惑メールならぬ「不審なSMS(ショートメッセージサービス)」が届いていませんでしょうか。電話番号がわかれば相手に届くSMSは、メールよりも便利な場合があります。しかし、裏を返すと8桁ほどの数字の羅列をランダムに使えば、誰かに届いてしまうかもしれないこと。また、いろいろな場所で連絡先として携帯電話番号を書いていることも多く、それがスパム目的で利用されることも増えました。

そして最近では、皆さんのスマートフォンやタブレットなどの連絡先に登録されている、友人の携帯電話番号を盗み出し、それを使って「不審なSMS」を送信する不正なアプリが登場しています。しかも、相当狡猾な手法で......。

「荷物のお届けにあがります!」

2018年7月ごろから、宅配業者の佐川急便を装った、SMSを経由した攻撃が目立っています。あなたのスマートフォンに「お客さま宛てにお荷物のお届けに上がりましたが不在の為持ち帰りました。配送物は下記よりご確認ください。」という日本語の文字列とともに、「https://sawgawaー(ランダム文字列).com」といったドメインにつながる短縮URLがついています。この内容だけで不審さを感じることは難しいでしょう。実は、このSMSは不正なサイトに誘導するための罠です。

もし、このURLをクリックしてしまうとどうなるのでしょうか。リンク先は、佐川急便のWEBサイトにそっくり似せたフィッシングサイトで、本物のWebサイトから画像をそのままコピーして利用しているので、区別の付けようがありません。

IMG_5033.png
#"偽"佐川急便のサイトイメージ(筆者が2018年7月ごろ取得)

スクロールしていくと、どうやら荷物の追跡サービスと称したスマートフォンアプリを入れなければならないようです。ご丁寧に、本物のWebサイトにはないマニュアルがトップページに掲載されています。


IMG_5035.png
#文字化けも散見されるインストールマニュアル(筆者が20187月ごろ取得)


実は、このアプリこそ「マルウェア」。わざわざ「提供元不明のアプリのインストールを許可」させるあたりが大変狡猾です。この通りの手順を踏むと、あなた自身が怪しいアプリを導入する手伝いをしていることになります。その怪しいマルウェアは、あなたのスマートフォン内の連絡先情報を盗み出し、知人にもこのマルウェアをインストールさせるために、「お客さま宛てにお荷物のお届けに上がりましたが......」というSMSを送信するのです。


実はこの攻撃、いま現在でも観測されているだけでなく、マルウェアが牙をむく先が家庭向けルーターに変わってたり、iOSの場合はマルウェアではなく構成プロファイルのインストールをさせるなど、攻撃が高度化しています。何か変だな?と思えたあなたは、どこかでその手を止めなければなりません。


佐川急便を装った迷惑メールにご注意ください
│お知らせ│佐川急便株式会社<SGホールディングスグループ>
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/

ドコモからのお知らせ : ドコモを装ったメール、ウェブサイトにご注意ください(2018年10月15日更新)
| お知らせ | NTTドコモ
https://www.nttdocomo.co.jp/info/notice/page/180206_01_m.html

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html



これ、どこで防げた?

では、この攻撃はどこで防ぐことができるでしょうか。SMSにはもしかしたら、本物の「荷物をお届けに上がりましたが......」という連絡が来るかもしれません。荷物の再配達ページにアクセスして、それが本物かどうかをどこで見分ければいいのでしょうか。それに最近では、家庭用ブロードバンドルーターの管理者ログインID、パスワードを使い、DNSと呼ばれる仕組みを攻撃、正しいドメイン名なのに悪意ある別のサーバーに接続するという手法もあります。そうなると、人の目で判断するのは難しく、「だまされた方が悪い」なんて、いってられなくなります。

そんなときは、ITの力を頼りましょう。実はこのような攻撃を、多段階で防ぐ方法があります。例えば、セキュリティサービスの一つである"SECURIE(セキュリエ)"の場合、まずは「URLフィルタリング機能」ですべてのWebサイトの安全性をチェックします。こういった攻撃はフィッシングサイトに誘導することが最初のステップで、そのためにサイバー犯罪者は有名な企業が使うドメインによく似たURLを取得します。前述した例では佐川急便が被害に遭っていますが、最近ではNTTドコモやアップルのドメインを装ったさまざまなドメイン名が毎日新しく作られて、あなたをだますという攻撃を仕掛けてきます。

"SECURIE"はこういったフィッシングサイトのURLをリアルタイムに収集しており、マルウェアや個人情報を盗むためだけに作られた偽サイトのURLを"ブロック"します。もし、あなたが自宅でスマートフォンを使っているとき、"SECURIE"の無線LAN経由でインターネットにつながっていたのならば、"SECURIE"がその怪しいURLを判断し、ブロックしてくれるのです。

図1.png
#信頼できないページは、"SECURIE"に搭載されたBitdefenderの機能でブロックされる


実はこれは、佐川急便やNTTドコモ、アップルだけではなく、さまざまなフィッシングにも有効です。実際に"SECURIE"が防いだ事例として、Amazonのフィッシングメールもブロックしてくれました。

IMG_2620.PNG
#Amazonの偽サイトへ誘導するこんなメールも



IMG_2621.PNG
#しっかりブロックされます。


もしかしたら、このコラムをお読みの方は「こんなのには、だまされないから大丈夫」と思うかもしれません。しかし、多くの方はセキュリティに詳しいわけではなく、みなさんの家族が全員こういった情報に強いわけではないのが実情です。実際、"SECURIE"を導入された方も家族がフィッシングSMSに引っかかってしまい、思わずタップしてしまったという事例があります。その場合でも"SECURIE"がブロックしたおかげで安全を保てただけではなく、こういった脅威が身近に存在することを知る良いきっかけになった、とのことです。


家の外でも安全を実感

"SECURIE"は、家の外でも安全を実感できます。Androidではスマートフォンアプリをインストールすることで、スマートフォン単体でもこういったフィッシングサイトをブロックする機能を有効にできます。そして最も重要なのは、万が一偽サイトにだまされてマルウェアをダウンロード、インストールしてしまいそうになったときでも、Androidで動く「Bitdefender Mobile Security」が守ってくれるということです。

例えば、冒頭の偽佐川サイトを開き、マルウェアをダウンロードしてしまっても......。わかりやすいメッセージでどうすればいいのかを教えてくれます。

fig01_sagi.jpg
#その「sagawa.apk」、マルウェアですよ!


fig02.jpg
#不要な権限を多く取得しようとしているのはマルウェアの特徴、万が一インストールしてしまっても......


fig03.jpg
#Bitdefender Mobile Securityをインストールしていれば、そのマルウェアに難読化の細工がしてあることを検出し、アンインストールするように指示してくれます


fig04.jpg
#インストールしてしまっても、起動する前に気付くことができるのです


ただし、このコラムをお読みの皆さまにはぜひ基本のセキュリティ対策である「提供元不明のアプリのインストールを許可しない」(Android)、「その内容がよくわからない場合、構成プロファイルはインストールしない」(iOS)ということはしっかり守ってください。これを守るだけで、ほとんどの脅威から身を守ることができるはずです。

セキュリティとは「安全を維持できて当たり前」という性格のものですので、何も起きなければ実感できないものかもしれません。できれば脅威を目の当たりにしたくないものではありますが、インターネットは少しずつ危険な場所になりつつあり、その脅威はあなただけでなく家族も狙ってきます。個別のデバイスを守ることに加え、ネットワークで家族全体を守れる仕組みを導入するのは、これからの時代の常識になるかもしれません。

今回のように、身近にフィッシング攻撃の事例が増えました。ほんのちょっとの時間でも、こういった脅威に関して家族で話題にしてみてはいかがでしょうか。




執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。