はじめに
先日、私の個人用電話番号に見知らぬ番号からショートメッセージが送られました。
フィッシングサイトの詐欺メールになっていて、こちらは典型的な最近の詐欺手法の一つです。こちらの注意喚起とともに仕組みについて解説したいと思います。
このようなSMSを使ったフィッシング詐欺は、「スミッシング(Smishing)」(SMS + Phishing)と呼ばれるそうです。
先日来たショートメッセージ(私はりそな銀行のアカウントは持っていません)
フィッシングサイトかどうかの見分け方
まず、電話番号のショートメッセージで連絡が来ることはないですし、押下後のURL(ドメイン)を見れば一発です。
ドメイン名がホンモノとニセモノで全く異なるため、公式とは全く関係ないことが分かります。
ホンモノ
https://ib.resonabank.co.jp/
ニセモノ(一部適当な値に変換しています)
https://qg3xyxcs.xxxxxx.org/
正直フィッシングサイトは生成AIも使えば簡単に(1日ほど)作れますので、皆さんも日々気を付けて対策していくことが求められると考えています。
フィッシングサイトの仕組み
このサイトの仕組みは非常にシンプルです。
-
フロントエンド: 本物のサイトのデザイン(HTML, CSS, 画像)を丸ごとコピーして作成します。最近は生成AIを使えば、本物そっくりのHTML/CSSを生成するのも簡単です。
-
バックエンド: 入力された情報(ID, パスワード, 暗証番号など)を、攻撃者が用意したデータベースに送信・保存します。
図でいうと下記になります。
実際にダミー情報を入力してみた
今回、試しにすべての入力欄に「1111」と入力してログインを試みました。
本来のサイトであれば、JavaScriptでのバリデーションや、バックエンドでの認証チェックが働くはずです。しかし、この詐欺サイトでは何のチェックも入らずにログインが成功し、次の画面(キャッシュカード番号の入力)に進みました。
これは、入力された情報が「正しいかどうか」は一切検証せず、 「入力された情報をそのまま攻撃者のDBに送信する」 ことだけを目的としているためです。
「対策」セクションの追加(開発者目線)
利用者が取るべき対策
- 公式アプリ・ブックマークの利用: SMSやメールのリンクは踏まず、必ず公式アプリや事前に登録したブックマークからアクセスする。
- パスワードマネージャーの活用: パスワードマネージャーはドメイン単位で認証情報を管理します。ドメインが異なれば認証情報が自動入力されないため、フィッシングサイトであることに気づきやすくなります。
- 多要素認証 (MFA/2FA) の徹底: たとえIDとパスワードが盗まれても、MFAが突破されない限り不正ログインを防げます。ただ、ログインが面倒になるため重要なサイトにこそ設定すべきです。
サービス開発者が取るべき対策
- DMARC, DKIM, SPFの設定: 自社ドメインを騙る「なりすましメール」を防ぐための基本的なメール認証技術です。
- CSP (Content Security Policy) の設定: frame-ancestors 'none' などを設定し、自社サイトが第三者のサイト(フィッシングサイトなど)でiframe内に表示されること(クリックジャッキングなど)を防ぎます。
- ユーザーへの啓発: ログイン画面や重要な操作を行う画面で、常にフィッシングへの注意喚起を表示する。
whoisで検索してみました。
結果からわかる情報
ドメイン: .org (管理団体は米国の非営利団体、登録代行業者を利用して身元を秘匿)
サーバー: 韓国(のホスティングサービスを利用)
IP契約者: 香港(のダミー情報またはブローカー)
考察
ドメインの登録国、サーバーの設置国、契約者の情報がすべてバラバラです。
万が一フィッシングサイトが通報されて法的な調査(警察の捜査や差し押さえなど)が入った場合に、関係各所(レジストラ、ホスティング会社)への法的手続きを複数の国にまたがらせることで、追跡を非常に困難にし、時間を稼ぐための典型的な手口です。
cmanのサイト(こちらはよく使います。DNSレコードが登録されているかよく使います。)
https://www.cman.jp/network/support/ip.html
画面遷移
1ページ目
2ページ目
3ページ目
4ページ目
5ページ目
