ニュース

7~9月はフィッシングサイトが増加、佐川急便を装う偽サイトでマルウェア拡散する手口など~JPCERT/CC調査

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、2018年7月1日~2018年9月30日に報告を受けたインシデントをまとめた「インシデント報告対応レポート」を公開した。

 7~9月期に寄せられた報告は3908件で、JPCERT/CCが国内外の関連サイトと停止・閉鎖を目的とした調整を行った件数は2216件。同年4~6月期と比較して、報告件数は2%増加し、調整件数は4%増加した。また、前年同期と比較すると、報告数で15%減少し、調整件数は1%減少した。

インシデント報告件数の月別推移
インシデント調整件数の月別推移

国内ブランドを装ったフィッシングサイト、通信事業者やSNS、金融機関を装ったものが多数

 報告を受けたインシデントをカテゴリー別に見ると、フィッシングサイトが1302件(38.2%)で、4~6月期の1214件から7%増加、前年同期比では29%増加。内訳は、国内ブランドを装ったフィッシングサイトが309件(24%)、国外ブランドを装ったものが784件(60%)、フィッシングサイト確認時に停止されていたなどの理由によりブランド不明のものが209件(16%)。

インシデントのカテゴリー別割合

 国内ブランドを装ったフィッシングサイトでは、通信事業者(34.7%)、SNS(26.3%)、金融機関(23.7%)を装ったものが多く確認された。

 ウェブサイトの改ざんについての報告は226件で、4~6月期の320件から29%減少した。改ざんされたサイトからの転送先として、「マルウェアに感染した」という偽警告を表示するサイトや広告を表示するサイト、「アンケートに回答すると賞品が入手できる」と書かれた不審なサイトなどが確認されている。

 改ざんされたウェブサイトからは、「http://<ドメイン名>.tk/index/?<数字の列>」で示されるウェブページを経由し、不審なサイトに転送されるという報告が多く寄せられた。なお、このドメインのサイトのドキュメントルートにアクセスすると、アクセスしたウェブブラウザーによっては、偽のマルウェア感染の警告が表示される場合がある。「.tk」ドメインのURLへの転送は、ページの最上部に埋め込まれたJavaScriptや、ページが読み込むJavaScriptファイル内に埋め込まれた難読化されたスクリプトなどによって行われることが確認されている。

偽のマルウェア感染の警告表示
転送に使われるJavaScript

 標的型攻撃に分類されるインシデントの件数は7件で、4~6月期の9件から22%減少。7~9月期は、マクロ付きのファイルが添付された標的型攻撃メールに関する報告が複数寄せられた。7月・8月にはマルウェア「ANEL」、7月後半には「Cobalt Strike Beacon」に感染させるマクロ付きのWordファイル、8月後半には「TSCookie」に感染させるマクロ付きのExcelファイルが添付された標的型攻撃メールが確認された。

佐川急便を装った偽サイトで不審なアプリをインストールさせる手口

 マルウェアサイトに関する報告は98件で、4~6月期の89件から10%増加。佐川急便のウェブサイトを模倣してAndroidのマルウェアを配布するサイトに関する報告も寄せられた。同サイトでは不審なアプリをインストールをさせるリンクが仕込まれており、これをAndroidスマートフォンにインストールした場合、自分のスマートフォンからも佐川急便をかたるSMSが不特定多数(自分のアドレス帳にない宛先)に向けて送信されてしまう事象が確認されている。

 この不審なアプリは佐川急便の公式アプリを装った名前やアイコンを使用しており、SMSの送信やマイクの録音など、公式アプリと異なる権限を要求する。同アプリをインストールして起動すると、C&Cサーバーの情報を取得するためとみられる通信が確認されている。マルウェアの通信先は配布された時期によって変化があり、SNSのウェブページ上の文字列や、特定のメールアカウントの受信メールの件名から、次に通信する先のIPアドレスを抽出する仕組みになっていた。

メールの件名から通信先を取得するマルウェアのコード

 マルウェアの配布サイトには、アクセス元の端末やウェブブラウザーの環境を確認するJavaScriptが埋め込まれていた。8月半ば以降は、Android端末以外からアクセスした場合、2段階認証の認証コードの窃取を目的としたフィッシングサイトに転送する仕組みになっていた。確認された全てのウェブサイトには、台湾の特定のISPの動的なIPアドレスが割り当てられていた。

 ポートスキャンに関する報告は1164件で、4~6月期の1255件から7%減少した。頻繁にスキャン対象となったポートは、SSH(22/TCP)が458件、HTTP(80/TCP)が266件、SMTP(25/TCP)が148件など。そのほかに分類されるインシデントについては、604件で、4~6月期の708件から15%減少した。