Share
Download the
Global Threat
Intelligence Report
12/9(木)は、SOC アナリスト 千田拓矢の記事です。2021年に観測されたフィッシングメールについて紹介します。
---
今年もあっという間に12月ですね。私はNTTドコモからNTTセキュリティジャパンに出向していて、着任からもうすぐ一年半が経ちます。昨年のEmotet全盛期にSOCの世界に飛び込んで、多くの貴重な経験をさせてもらいました。年末まであと少しですが、 最後まで全力で走り切りたいと思います。
はじめに
さて、本日の記事では「フィッシングメール」について取り上げたいと思います。みなさまフィッシングメールなんて毎日のように見かけると思いますが、我々SOCアナリストも毎日のようにフィッシング関連の名前解決やアクセスログを分析しています。
本記事では
- SOCにおけるフィッシングメール観測状況
- フィッシングメールあるある
- 実例から学ぶフィッシングメールの見分け方
といった内容を紹介していきたいと思います。
SOCにおけるフィッシングメール観測状況
こちらのグラフは弊社SOCにおけるフィッシングメールの観測状況です。
SOCでは毎日数万件規模のフィッシングメールを観測しています。俯瞰的にみると、ここ数年フィッシングメールの件数は増加傾向にあります。近年ではリモートワークが定着しており、ECサイトやキャッシュレス決済の利用機会がますます増加しています。それに合わせて全体的にフィッシングメールの数も増加してきているようです。
年末に着目すると、昨年も今年も一時的なピークがあるのがわかります。ブラックフライデーなどの安売りセール期間が関係あるのでしょうか?他にも2021年の8月から件数が増加している点も気になります。
フィッシングメールあるある
メールの件名の出現頻度を上位10000件をざっと眺めてみました。そこから何となくわかった "フィッシングメールにありがちな特徴" をまとめてみます。
返信・転送
| Re:【重要】カード情報更新のお知らせ |
| FW: 【重要】スカウトメール |
機械ではなく人間がちゃんと送ったかのように見える巧妙なテクニックです。「あれ?誰からの返信だろう?」と思って油断してはいけません。キチンと送信者のメールアドレスや@マーク移行の文字列をチェックしましょう。
また、マルウェアのばらまきメールでもこういう形式が報告されています[1]。添付ファイルも `賞与.doc` や `緊急事態宣言.doc` といった思わず開きたくなるようなネーミングなので悪質です。最近ではEmotetも活動再開しているので、フィッシングに限らず怪しいと思ったメールは簡単に開かないように気を付けましょう。
あいまいな件名
| ●●●セキュリティ警告 |
| 重要なお知らせ:サービス通知 |
●●● にはユーザー向けの一般のサービス名が入りますが、それ以上に具体的な情報を含まないという特徴がフィッシングメールには見受けられます。サービス名と簡単な内容を組み合わせるだけのケースが多いようです。他にも「【xxxカード】更新のお知らせ」や「【xxxx銀行】セキュリティに問題があります」などがあります。
情報量が少ないため中身が気になってしまいますが、身に覚えがないメールはフィッシングの可能性が高いので要注意です。
誤字脱字・下手な日本語
| 【緊急お知らせ】●●● 異常ログインが見つかり2021/11/04 |
| 【●●●】24じかん時間いない以内にログインじょーほー情報のこーしん更新をおねがい願いします! |
| とても残念です! ●●● アカウントに異常があります。 |
”とても残念” な日本語を使ってくるのも特徴の一つです。頑張って翻訳したのだと思われますが…、一目で怪しいメールということがわかりますね。(日本語が難しくて良かった。)
「ひらがな」がやたらと多い、「てにをは」などの文法ミス、あきらかに機械翻訳っぽい、といったメールはフィッシングの可能性が高いので気を付けましょう。
実例から学ぶフィッシングメールの見分け方
注文状況、請求金額などの案内
| 【●●●】次回口座振替のお知らせ |
| 【●●●】ご請求金額確定のご案内 |
| 【●●●】注文状況をご確認ください |
| 【●●●】注文状況が変更されました |
クレジットカードやネットショッピングの利用明細が送られてくるパターンです。実際にクレジット会社ECサイトからメールが来ることも多々あるので、見分けがつきにくいですね。特に最近ではQR決済サービスのフィッシングも増加しています。
個人情報設定
| [●●●銀行]個人情報が失効のご連絡 |
| セキュリティシステムがアップグレードされました。個人情報の更新を完了してください。 |
| ●●●会費のお支払い方法に問題があります、支払方法を更新する |
個人情報設定に関連するメールはかなり多いです。実際によくあるメールなので紛らわしいですね。内容的に個人情報を入力してしまいそうになりますが、キチンとURLや送信者を確認しなければなりません。
異常なアクティビティ
| 【●●● 銀行】異常振込入金のお知らせ |
| 【最終警告】●●● カードからの緊急のご連絡 |
| 【緊急お知らせ】●●● 異常ログインが見つかり |
「警告」とか「異常」と書かれると何となく焦ってしまいますよね。こういう人間心理を巧みに利用したフィッシングメールもよくあります。本当に緊急なら電話での連絡が来ることも多いので、まずは疑ってかかりましょう。
アカウント停止系
| ●●● アカウントは二級保護を開けていません。アカウントは一時停止されます。 |
| お客様のカードは安全のために一時的にブロックされます。 |
| 【●●● CARD】カードの支払い口座に問題がある |
| ご利用の ●●● アカウントを一時保留いたしました解決するにはサインインが必要です。 |
「問題がある」のようなあいまいな表現につられて、思わずアクセスしそうになりますね。メールに記載されたリンクではなく、スマホアプリやブラウザのブックマークから確認するなど用心しましょう。
おめでとうございます!系
| ご贈与した金額がお客様のアカウントの ●●● ギフト券残高に登録されました |
| \●●● 開催中!/最大20,000円OFFクーポンを |
| 【完全無償】ポイント換金のご案内 |
| 20,500円の返金があります |
「宝くじに当選しました」といったスパムメールは古くからありますが、最近ではECサイトのクーポンやキャッシュバックなどを騙ったフィッシングメールが主流になってきています。何の脈絡もない当選メールと比べると控え目で現実味があるので厄介です。
コロナ対策系
| 自分でできる新型コロナ対策 |
| 本当にイベルメクチンって効果あるの? |
| 「自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内」 |
ここ数年で、新型コロナウイルス関連のフィッシングメールやスパムメールも登場しました。特にワクチン接種のメール[2]などはこれまであまり使われてこなかったため悪質です。今後も仮想通貨やサブスクリプションなどフィッシングメールの手口も巧妙化していきそうです。
おわりに
本日はフィッシングメールについて取り上げました。フィッシングの実例に関してはこちら[3]でも情報が豊富に集まっているので参考になります。
我々のSOCではこのようなフィッシングメールを自動的に解析し、悪性なURLやドメインの情報をいち早く取り入れております。過去には実際にフィッシングサイトから情報漏洩してしまった事例などもあります。
この記事がみなさまのフィッシング対策の役に立てれば幸いです。明日の記事もご期待ください!それではよい年末を!