ニュース

宅配業者を装う偽SMS攻撃、佐川に加えて日通の類似ドメインなど1500件以上準備されていた

 宅配業者の不在通知を装い、SMS経由でフィッシングサイトに誘導する“スミッシング”が2018年以降に確認されているが、この攻撃で1500件以上の類似ドメインが取得されていたことがデジタルアーツ株式会社の調査で分かった。

 同ドメインは2019年4月22日までに観測されたもので、実際には使われなかったものも含まれている。トップレベルドメイン(TLD)の大半は「.com」だったが、デジタルアーツによれば、さまざまなTLDの中でも「.com」は「それほど安価ではない」という。初年度費用や一括購入割引を加味したうえで、1ドメインあたり約750円で取得した場合、約112万5000円のコストが掛かる。ドメイン取得後はフィッシングサイトをホストするためのサーバーも準備する必要があるが、「コストをかけてもそれを上回るリターンがある」とみている。

 攻撃者は主に海外のレジストラからドメインを取得していた。2018年7月末まではレジストラA、それ以降はレジストラBで登録されているものだった。2018年9月・10月、2019年2月など月によっては取得数が少ない時期もあるが、攻撃の準備や国家的祝日などが関係している可能性がある。

ドメイン取得日時とレジストラ

 フィッシングサイトをホストしていたサーバーのIPアドレスについては、1つのIPアドレスに複数のドメインが紐づいていることが多かった。また、ドメインも複数のIPアドレスに紐づいていることが観測されている。

 IPアドレスを所有するホスティング事業者は、アジア圏所在地のホスティング事業者(X)や、欧米圏に所在地登録しているホスティング事業者(Y、Z)だった。Xのサーバーを初期から継続利用しつつ、2019年2月以降はYのサーバーを加え、同年4月からはZのサーバーも利用していた。

ドメインとIPアドレスの組み合わせの初回観測日時、IPアドレスを所有するホスティング事業者

 この攻撃では過去に使われたドメインを再利用していることが分かった。例えば2018年7月に観測したドメインは、2019年4月でも使われていた。また、フィッシングページのURLに「81番ポート」や「88番ポート」という情報が付与するものがあった。

 基本的には「sagawa-[英字].com」という文字列を使用しているが、「jppost-[英字].com」、「yamato-[英字].com」、「nittsu-[英字].com」といった、他の宅配業者のような文字列も多く観測されるようになった。

 なお、日本通運を装った不審なSMSが確認されているとして、同社では4月26日付で注意喚起情報を出している。

日本郵便を装うフィッシングサイトも4月以降に新たに確認

 2019年4月20日ごろより、同一の攻撃者が作成したものと考えられる新たなフィッシングサイトが出現した。コンテンツは日本郵便のウェブサイトを模倣しているが、ドメインは「sagawa-[英字].com」「yamato-[英字].com」が使われるなど、コンテンツとドメインが一致していなかった。

 Android端末で同フィッシングサイトにアクセスすると、不審なアプリ(apkファイル)がダウンロードされる。本物の日本郵便のウェブサイトとは異なり、同アプリのインストール方法が詳細に記載されていた。

 なお、不審なアプリを端末にインストールすると、宅配不在通知を偽装したSMSの発信源となってしまうことや、アカウント情報が盗まれる恐れがある。

日本郵便を装うフィッシングサイト
不審なアプリのインストール方法が記載されていた

 iOS端末で同フィッシングサイトにアクセスした場合は、Apple ID・パスワードや携帯電話番号・認証コードを入力するように誘導される。また、構成プロファイルをインストールするよう誘導されることもある。

 佐川急便、ヤマト運輸、日本郵便ではSMSによる不在通知を行っていないため、Android端末では提供元が不明なアプリを安易にインストールしないこと、iOS端末では構成プロファイルなどをインストールしないこと、パスワードや認証コードなどを不審なウェブサイトで安易に入力しないようデジタルアーツは注意を呼び掛けている。