ニュース
継続して出回るAppleの偽メール・6つの件名バリエーション、偽サイトへ誘導し、個人情報を根こそぎ窃取
1週間で2500件以上、トレンドマイクロが確認
2017年8月25日 19:31
トレンドマイクロ株式会社は25日、Appleをかたるフィッシングメールが6月ごろから継続して確認されているとして注意喚起を行った。
8月にトレンドマイクロが行った調査では、14~21日の1週間で2500件以上のフィッシングメールの拡散を確認。送信者情報は「Appleサポート」と表示されており、メールアドレスは「jp.appleservice」といった文字列から始まる。一見正しいものに見えるが、ドメイン名は「vera-clod.com」でApple社とは異なるものになっている。フィッシングメールの送信アドレスとしてはこのほかに、実在の会社に似せたドメインやフリーメールのドメインなどが使用されることがあるという。
メール中のリンク先はApple社のサイトを装った偽サイトになっている。この際、HTML形式のメールを利用して、誘導先のURLを表面上分からないようにしたり、短縮URLを用いて一目では正当性の判断がつかないようにしている。最終的に誘導される偽サイトのURLは「sign.in」「appleid」「apple.com」などの文字列を含む長い文字列となっており、実際のドメイン名などが分かりにくくなっている。
偽サイトでApple IDとパスワードを入力すると、アカウントがロックされている旨のメッセージが表示され、アカウントの確認と称してさまざまな情報の入力を求めてくる。要求される情報は氏名など個人情報のほか、クレジットカード情報、カード会社のウェブサービスで使うID・パスワード、二要素認証のセキュリティの質問など。ただし、入力内容の正当性チェックなどは行われてないため、無意味な文字列を入力しても通るようになっている。入力後は、英語で認証完了のメッセージが表示され、正規のApple社のサイトを表示。受信者に正規の手続きであったように思わせる手口となっている。
今回実例として紹介したものを含め、同じ偽サイトへ誘導するメールの件名として、少なくとも6種類のバリエーションがあったことも確認されている。
件名一覧 |
リマインダー:最近アカウントが不明なデバイスからサインインされました! |
アラート:あなたのアカウントは一時的に無効になっています |
お使いのApple IDのパスワードがリセットされました。 |
あなたのアカウントは一時的に無効になっています |
あなたのIDの情報が正しくないため、あなたのアカウントは一時的に無効になっています |
[要約更新レポート]:Statement更新アカウントはログイン、Re-Activatedには使用できません。(この問題のケースIDはAPP-X87726391です)。 |
同様の手口でも、攻撃内容を少しずつ変化させるのが最近の攻撃の特徴。また、今回詐取対象となったApple IDを含め、Googleアカウントやマイクロソフトアカウントといったマルチサービスアカウントは個人情報が集積されており、サイバー犯罪者にとって利用価値が高いため頻繁に狙われるおそれがある。攻撃内容は変化するため、常に最新の脅威動向を知り、新たな手口にだまされないよう注意を払う必要がある。