継続して出回るAppleの偽メール・6つの件名バリエーション、偽サイトへ誘導し、個人情報を根こそぎ窃取

　トレンドマイクロ株式会社は25日、Appleをかたるフィッシングメールが6月ごろから継続して確認されているとして注意喚起を行った。

　8月にトレンドマイクロが行った調査では、14～21日の1週間で2500件以上のフィッシングメールの拡散を確認。送信者情報は「Appleサポート」と表示されており、メールアドレスは「jp.appleservice」といった文字列から始まる。一見正しいものに見えるが、ドメイン名は「vera-clod.com」でApple社とは異なるものになっている。フィッシングメールの送信アドレスとしてはこのほかに、実在の会社に似せたドメインやフリーメールのドメインなどが使用されることがあるという。

確認されたフィッシングメール例

　メール中のリンク先はApple社のサイトを装った偽サイトになっている。この際、HTML形式のメールを利用して、誘導先のURLを表面上分からないようにしたり、短縮URLを用いて一目では正当性の判断がつかないようにしている。最終的に誘導される偽サイトのURLは「sign.in」「appleid」「apple.com」などの文字列を含む長い文字列となっており、実際のドメイン名などが分かりにくくなっている。

　偽サイトでApple IDとパスワードを入力すると、アカウントがロックされている旨のメッセージが表示され、アカウントの確認と称してさまざまな情報の入力を求めてくる。要求される情報は氏名など個人情報のほか、クレジットカード情報、カード会社のウェブサービスで使うID・パスワード、二要素認証のセキュリティの質問など。ただし、入力内容の正当性チェックなどは行われてないため、無意味な文字列を入力しても通るようになっている。入力後は、英語で認証完了のメッセージが表示され、正規のApple社のサイトを表示。受信者に正規の手続きであったように思わせる手口となっている。

誘導されるフィッシングサイト例

Apple IDとパスワードを入力するとアカウントロックを偽装した画面を表示

名前などの各種個人情報やクレジットカード情報の入力を要求

セキュリティの質問の入力を求める画面

認証完了の偽メッセージのみ英語で表示される

　今回実例として紹介したものを含め、同じ偽サイトへ誘導するメールの件名として、少なくとも6種類のバリエーションがあったことも確認されている。

　同様の手口でも、攻撃内容を少しずつ変化させるのが最近の攻撃の特徴。また、今回詐取対象となったApple IDを含め、Googleアカウントやマイクロソフトアカウントといったマルチサービスアカウントは個人情報が集積されており、サイバー犯罪者にとって利用価値が高いため頻繁に狙われるおそれがある。攻撃内容は変化するため、常に最新の脅威動向を知り、新たな手口にだまされないよう注意を払う必要がある。