同社によると、継続した脅威の分析・リサーチの中で、2014年2月27日から 3月4日までの丸5日間に、30以上の日本国内の特定の銀行を狙ったフィッシングサイトが、日本の大手ISP2社が管理するサーバ上で集中して作成されていることを確認したという。

今回確認されたものと同様の手口によるフィッシングサイトの攻撃は、昨年11月以降断続的に確認されていたが、この2月末から攻撃が再開されたものと考えられるとしている。

今回確認されたフィッシングサイト

これらのフィッシングサイトのURLには特徴があり、サブドメインとして日本の特定の銀行の正規ドメイン名をそのまま含むみ。形式的として最も多いドメイン名は、「<日本の銀行のドメイン名>.<英字3文字>.cn.com」だという。自動的に作成していることを思わせるパターンであり、全体の9割を占めている。

その他に、別のドメイン名で ".in"、".com" の「トップレベルドメイン(TLD)」が使用されているケースも確認しているほか、URLには必ず、「login.htm」の文字列が入っており、ユーザに銀行サイトのログイン画面と思わせようとする意図が感じられる。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」によると、2月27日以降これらのフィッシングサイトに対し、日本国内の少なくとも2000人のユーザから3600件以上のアクセスがあったことを確認している。

2月27日以降、急激にアクセスが増えていることがわかる

このフィッシングサイトに使用されているホストは日本の大手ISP2社の4つのIPアドレスに集中しており、1つのIPアドレスに対し最大で15のフィッシングサイトが作成されていた。

Whois情報によると、これらのフィッシングサイトの登録者は2種類のフリーメールアドレスを使用して登録されており、その類似性から1つの大きなサイバー犯罪グループによる攻撃であることが推測されるとしている。

同社では、オンライン銀行へのログインを促す内容の案内メールを受け取った場合には注意して内容を確認し、不審な点があった場合にはすぐに銀行へ連絡することを推奨している。

この類いのフィッシングメールが出回っているが、同じ文面とは限らないので注意してほしい

なお、トレンドマイクロの対応策として、同事例に関連する当該銀行、ISPにはすでにコンピュータセキュリティインシデント対応部門である「TM-SIRT」より連絡を行っている。ほかにもフィッシングサイトに関しては、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能の 1つである「Webレピュテーション」技術により、アクセスブロックの対応を行い、ユーザへの保護を提供している。