いまだ増え続けるフィッシング詐欺、注目すべき2つの最新手法とは？

Director, General Manager of FraudAction Business, RSA Fraud & Risk Intelligence アロン・シミロヴィッツ氏

EMCジャパンのセキュリティ部門であるRSA事業本部は1月29日、オンラインサービスを対象とした詐欺・不正行為の最新トレンドに関する説明会を開催した。

RSAのサイバー犯罪インテリジェンスチーム「AFCC（Anti-Fraud Command Center）」でフィッシングサイト閉鎖サービス「RSA FraudAction Services」のゼネラルマネージャーを務めるアロン・シミロヴィッツ氏が、注目すべきフィッシング詐欺の2つの手法について説明した。

シミロヴィッツ氏は、AFCCが収集した2018年に発生したグローバルのサイバー攻撃の発生状況のデータを引き合いに出し、「フィッシングは古くからある攻撃にもかかわらず、2018年は右肩上がりで増加した」と、2019年も引き続き、フィッシング詐欺に注意すべきと呼び掛けた。

2018年に見られたフィッシング詐欺の攻撃手法として「リバース・ヴィッシング攻撃」と「2要素フィッシング」が紹介された。

リバース・ヴィッシング攻撃は、VoiceとPhishingの造語で、電話を用いたフィッシング詐欺を指す。シミロヴィッツ氏によると、これまでも電話を用いたフィッシング詐欺は行われていたが、最近の攻撃では、攻撃者に電話をかけるように仕向けるような仕組みがとられているという。

シミロヴィッツ氏は、Google Mapを用いて攻撃の流れを紹介した。まず、攻撃者は、Google Mapに表示される銀行などの住所や電話番号をすり替えておく。一般消費者がGoogleで検索した結果から、Google Mapの電話番号に電話をかけると、攻撃者につながって、個人情報を聞き出されてしまうというわけだ。

Google Mapには「情報の修正を提案」といった項目が設けられており、一般の人が情報を書き換えることが可能になっている。

リバース・ヴィッシングでは、Google Mapのデータを書き換えるという手口が用いられることがある。上の画面の場合、左が正規のGoogle Mapの画面、右が情報を書き換えられたGoogle Mapの画面

一方、2要素フィッシングでは、「Evilginx」「CredSniper」といった闇市場で入手可能なフィッシング用のツールが用いられる。これらツールは、ユーザーがWebサイトにログインする時のデータをキャプチャする役割を果たすほか、正規サイトからユーザーの認証情報、2要素認証、セッションCookieを窃取するプロキシ―としても機能する。

シミロヴィッツ氏は「これまで、中間者攻撃(man-in-the-middle attack)を実行するには、トロイの木馬が必要であり、手順が複雑だった。だが、今は、フィッシング用のツールがあれば可能になった。しかも、攻撃者は正規のサイトに入力されたデータをリアルタイムでダッシュできる」と、2要素フィッシングのリスクを説明した。

Director, Product Management & Fraud Strategy, RSA Fraud & Risk Intelligence ダニエル・コーヘン氏

そのほか、攻撃者の最新動向として「グレイ・ウェブ」が紹介された。グレイ・ウェブとは、正規のWebサイトを用いて問題行為を働くことをいう。

シミロヴィッツ氏は「最近は、SNSを使ってオープンに活動する攻撃者が増えてきた」として、Facebook、QQ、YouTubeなどを悪用する詐欺グループを紹介した。

説明会では、Director, Product Management & Fraud Strategyを務めるダニエル・コーヘン氏が、FacebookやTwitterに、攻撃者グループがカード番号と暗証番号を投稿している様子をデモで示した。Facebookでは、カード番号を得ることができるグループも作られていることを見せた。

このように、攻撃者がSNSに窃取したクレジットカード番号や暗証番号を流す理由は、攻撃者の信頼性を高めることにあるという。利用価値、つまり攻撃に悪用できるデータを所有していることを誇示することで、攻撃者はさらなる情報を売りつけて、ビジネスを広げようとしているわけだ。

コーヘン氏は、来月に内閣サイバーセキュリティセンターが実施するサイバーセキュリティ月間に向けて、消費者がオンラインを安全に利用するための5カ条として、次の5つを紹介した。