英国の詩人、ラドヤード・キプリングの作品に次のように始まる四行詩があります。
Now the New Year, reviving last Year's Debt,
The Thoughtful Fisher casteth wide his Net;
So I with begging Dish and ready Tongue
Assail all Men for all that I can get.
(The Rupaiyat of Omar Kal'vin(オマル・カルビンのルバイヤート))
新しい年に入ったら、「フィッシャー(Fisher:ここでは役人の意)」が新たな税金を徴収するようになった、と不満を表した内容です(私たちの新年について語るのはもう少し先になるでしょう)。 さて、怒涛のように押し寄せたプレゼンテーションや会議用の論文の準備から解放された私を待ち受けていたのは、もう1つのフィッシャー(Phisher:フィッシング詐欺師)からのメールでした。このメールアカウントを私用で使うことはほとんどなく、今では興味のない一斉送信メールや迷惑メール、詐欺メールの専用の受け皿と化しています。中でも目を引いたのは、英国の大手3銀行、NatWest、Lloyds、Halifaxの利用者を狙ったフィッシング詐欺メールです。これらの詐欺に、「類似性」が認められるのは間違ありません。そのほとんどがポーランド(.pl)、またはニュージーランド近くの島国ニウエ(.nu)でホストされているとみられる、フィッシング詐欺サイトとリンクしているのです。各サイトの追跡調査はまだ行っていませんが、皆さんがアクセスしてしまわないようにURLを無効化した上で以下に記載しています。ただし、フィッシング詐欺サイトは絶えず変化していますので注意してください。
不思議なことに見かけ上の送信元アドレスは、(皆さんが予想されているような)攻撃に遭った銀行や組織が所有する本物のドメインから送信されたかのように偽装されているケースばかりではありません。実際の銀行のものとは思えないようなアドレスも見られます。例えば、「info@lloyds.com」や「onlineservice@nationwide.com」をはじめ、「info@nbs.mobi」や「secure@lloydsbank.mobi」、「info@lloydsbank.mobi」(それぞれの銀行と何らかのつながりがあるかと思わせるかもしれませんが、大手銀行が「.mobi(モバイル系)」ドメインを必ずしも確保しているとは限りません)、あるいは「info@services.com」や「info@service.mobi」など、「@yahoo.com」並みの一般的すぎるアドレスなどが確認されています。「info@box.com」のような、もはや銀行からとは思えないアドレスも実在します。
いつも口にしていることですが、利用している銀行名が送信元アドレスに含まれているという理由だけで本物と信じるのは禁物です。そして、少しでも不審に思える点があれば、より一層警戒する必要があります。例えば、HotmailやGmailなどのアドレスを正当な銀行が使用するとは考えられませんし、疑わしいリンクが記載されている場合はなおさらです。たとえリンクに問題がないように思えるケースでも、メールに記載されているURLは使用せず、既知の正当なURLからアクセスする方が安全です。少なくとも、そのメールが本物であると確信できない限りは、その方が賢明と言えます。一般的に、一見アカウントにログインするためとしてリンクをクリックするよう要求するメールは、偽物であるか、またはフィッシング詐欺に関する知識が乏しい金融機関からの送信と判断して当然です。今後は、別の銀行への乗り換えを検討した方が良いかもしれません。
一方で、特に興味深いのがソーシャルエンジニアリングの手口の多様性です。使用されている標準的なフィッシング詐欺の手法の数を考慮すれば、各メッセージを詳しく分析してみる価値はあります。もちろんそれぞれのリンクは機能しません。
[見かけ上の送信元…] NatWest Card Services [info@service.mobi]
[件名…] REFUND SLATED ON YOUR ACCOUNT(口座への払い戻しのお知らせ)
Our record shows that you have a refund slated on your card account due to charges made against your card account by us.(お客様の当行カードの口座に対し請求が発生したため、払い戻しをさせていただくこととなりました。)
We do apologies for this mistake which was caused by errors from our system.(当行のシステム上のエラーにより、このような問題が発生しましたことを深くお詫び申し上げます。) This transaction cannot be completed due to the errors present in your account information.(しかし、お客様の口座情報にエラーが確認されているため、払い戻しの処理を完了できておりません。)
You are required to click on the LOGON below to fix this problem immediately.(恐れ入りますが、下の「ログオン」をクリックして、この問題を迅速に解決していただきますようお願いいたします。) Please note, it will take 3 working days to credit your account with the refund.(なお、お客様の口座に払い戻しが行われるまでには3営業日ほどかかりますのでご了承ください。)
LOG ON HERE(ログオンはこちらから) [リンクは解除していますが、実際のメールでは「hxxp://rygielska.pl/wp-includes/css/txt.htm」に移動します]
Thanks(よろしくお願い申し上げます。)
NatWest Card Services
払い戻しを受けられると聞いて嫌な顔をする人がいるでしょうか。ユーザーに悪意のあるリンクや添付ファイルをクリックさせるためにこの種の文句がしばしば使用されているところを見ると、詐欺師たちはターゲットが申し出を断るわけがないと確信しているようです。
注目すべきは冒頭です。「お客様」など一般的に用いられる表現がありません。これは私たちが何度も指摘してきたことですが、誰にでも通用する(パーソナライズされていない)書き出しで始まっている場合、詐欺師たちは送信相手を把握していないと考えて間違いありません。何せ、見込みのある膨大な数のターゲットに一斉に送りつけているだけなのですから。おそらく、連中は私たちの指摘に気付いて、一般的な書き出しにするよりもいっそのこと省いた方がボロが出ないと踏んだに違いありません。何も書かなければ、受信者は省略されたことを知る由もないでしょう。倫理上、いきなり本題に入るメールは、書き出しに具体性が欠けるメールと同じくらい疑わしいと考えるべきです。なお、メールアドレスから名前を自動的に導き出すケースもありますので気を付けてください(それほど一般的ではありませんが)。ただ、その場合、説得力が感じられない名前になっているかもしれません。私も以前、「dharley3467様」や「dharley@myISP.com様」といったパーソナライズされていないメールを受け取った経験があります。
さらに、払い戻しの処理に3日かかると、詐欺師が言及している点にも留意してください。より端的に言うと、その間に口座情報を盗み出すということになるのです。ただし、英文を読む限り、彼らはいまだ英語を不得意としているようです(真っ当な社会人でもスペルミスを犯してしまうケースはしばしばありますが)。
[見かけ上の送り主…] Nationwide Building Society [info(at)nbs.mobi]
[件名…] Nationwide - Security Certificates Update(Nationwide - セキュリティ認証の更新のお願い)
We are sorry to inform you that your account in NATIONWIDE Internet Banking System is not fully available.(このたび、NATIONWIDEのインターネットバンキングシステムにおいて、お客様のアカウントのご利用を一部制限させていただくこととなりました。)
During the last update of your account details, our security system reported many required fields not filled.(これは、お客様のアカウント情報の前回の更新時に、多くの必須項目が入力されなかったと当行のセキュリティシステムにより報告されたためです。)
To finish the activation process please follow the link below.(恐れ入りますが、下のリンクをクリックして、アカウントを有効にしていただきますようお願いいたします。)
Click here to complete your account(アカウントを有効にするにはこちらをクリック)
[リンクは解除していますが、実際のメールでは「hxxp://drukujfoto.pl/fotogaleria/formularze/xy/rrs.htm」に移動します]
Thank you for banking with us.(よろしくお願い申し上げます。)
Nationwide Building Society
最初のメールと比べると英語は少し良くなっていますが、それでもまだ「非英語圏の英語」という印象を受けます。粗雑な英文であることをもってフィッシング詐欺であると判断することは可能ですが、それによってどれだけの被害が軽減されるかはわかりません。特定の地域における銀行を代表してメールを作成する人物は、その地域で主に話されている言語を母国語としている可能性が高いのです。「利用を一部制限」という表現が意図的な曖昧さを狙っているのかどうかは不明ですが、フィッシング詐欺サイトdrukujfoto.plにアクセスしてサービスを利用しようとしても、有効なリンクを見つけられなかったユーザーを納得させる効果はあるかもしれません。
[見かけ上の送り主…] Lloyds Bank [secure(at)lloydsbank.mobiまたはinfo@lloydsbank.mobi]
[件名] Lloyds Bank - Existing Customer Notification(Lloyds Bank - 当行をご利用のお客様へのお知らせ)
Starting from September 25 2013, Lloyds bank introduces new authentication procedures in order to better protect private information of our account holders.(2013年9月25日より、Lloyds銀行では口座所有者様の個人情報のセキュリティを強化するため、新しい認証手続きを導入する運びとなりました。)
Please note that accounts that are not reviewed within 48 hrs are subject to termination.(48時間以内に承認されなかった口座については、終了させていただきますのでご了承ください。)
To avoid service interruption click here to avoid services interruption(サービスを継続してご利用いただけるように、こちらをクリックして指示に従ってください) [リンクは解除していますが、実際のメールは「hxxp://static.teatrwybrzeze.pl/phpThumb/docs/rrs.htm」とリンクしています]
Thank You.(よろしくお願い申し上げます。)
Lloyds Banking Group
英語におかしな間違いはありませんが、こちらもやや不自然です。これはフィッシング詐欺ではよく見られる手口です。詐欺師は、口座を終了させると脅しをかけて、ターゲットにじっくり考える時間を与えないまま指示に従わせようとするのです。
[件名] Nationwide - Resolve Your Account(Nationwide - アカウントの問題を解決してください)
[見かけ上の送り主]Nationwide [info@box.com]
Dear Valued Customer,(お客様)
Your Nationwide Account has been limited due to the unusual login attempt to your online banking.(お客様のオンラインバンキングへの不審なログイン試行が確認されたため、お客様のNationwideアカウントは現在、制限されています。)
Resolve Your Nationwide Account(こちらからNationwideアカウントの問題を解決してください。) [リンクは解除していますが、実際のメールでは「hxxp://www.globalla.pl/views/img/prettyPhoto/default/NATIONWIDE/nationwide.co.uk.htm」に移動します]
Thanks,(よろしくお願い申し上げます。)
Nationwide Building Society
まず目に付くのが何とも漠然としたメールアドレスです。それに、ユーザーのアカウントにアクセスしようとしている輩がいるという指摘も具体性に欠けます。確かに、ユーザーがクリックしてしまったら、この送り主が実際にアクセスするのでしょうね。
続いて、セキュリティの改善という名目でクリックを促す詐欺メールを紹介します。
[件名] Nationwide - Upgrade Notification.(Nationwide - アップグレードの通知)
[見かけ上の送り主] Nationwide [info(at)services.com]
Dear Valued Customer:(お客様)
We have upgraded our system security service bringing significant performance improvements and new features, which all Nationwide Building Society customers will enjoy.(Nationwide Building Societyではこのたび、当行をご利用のすべてのお客様を対象としたパフォーマンスの大幅な向上と新機能のリリースのため、システムのセキュリティサービスをアップグレードする運びとなりました。)
Due to this upgrade we urge you to please upgrade to this service now for security purpose.(今回のアップグレードに伴い、セキュリティ上の理由から、このサービスに早急にアップグレードしていただきますようお願いいたします。)
Please kindly click here now to upgrade your Nationwide Building Society account to the latest security feature.(恐れ入りますが、こちらを今すぐクリックして、お客様のNationwide Building Societyアカウントのセキュリティ機能をアップグレードしてください。)
[リンクは解除していますが、実際のメールでは「hxxp://succesformule.nu/frm.htm」に移動します]
Thanks.(よろしくお願い申し上げます。)
Nationwide Building Society
上のメールとほとんど間を置かずに別のLloyds TSBと称した詐欺メールも2通届きましたが、内容はほぼ同じなので省きます。最後にHalifaxを名乗るメールを紹介します。
[件名] LloydsTSB - Account Upgrade Notice(LloydsTSB - アカウント情報の更新のお願い)
[見かけ上の送り主] Halifax [info(at)halifax.co.uk]
Dear Valued Customer,(お客様)
We recently reviewed your account and noticed that your Halifax account details needs to be updated and verified.(先日、お客様のアカウントを確認しましたところ、ご利用のHalifaxアカウントの情報を更新し、承認を受けていただく必要があることが判明しました。)
Due to this, you are requested to follow the provided steps to confirm your Online Banking details for the safety of your accounts.(このため、記載した手順に従ってオンラインバンキングの情報を確認し、アカウントの安全性を確保していただきますようお願いいたします。)
Simply click on secure account to update your Internet Banking details.(下の「アカウントの安全性を確保」をクリックすれば、お客様のインターネットバンキングの詳細情報を更新していただけます。)
SECURE ACCOUNT(アカウントの安全性を確保)
[リンクは解除していますが、実際のメールでは「hxxp://www.lebenstraum-immo.de/kickers/images/fbfiles/images/gou.htm」に移動します]
Thank you for banking with us.(よろしくお願い申し上げます。)
Yours sincerely,(敬具)
Customer Service Department.(カスタマーサービス担当)
Halifax Online Banking
信頼できる金融機関なら、予期しないメールを利用者に送りつけて、記載されている疑わしいリンクをクリックしてセキュリティをアップグレードするよう要求することはまずありません。この点を頭に入れておけば、被害は大幅に減少するでしょう。
- 「ESET Technology Alliance」を立ち上げ
ESETは今月初め、統合パートナーシッププログラムである「ESET Technology Alliance」を立ち上げました。このプログラムは、ESET製品とシームレスに統合する包括的なITセキュリティソリューション(無料)で企業のセキュリティを強化することを目的としています。 - ESET Mobile Security for AndroidをAndroid向けアプリストアでも販売開始
ESETは、AndroidR向けアプリストア「Amazon Appstore」でESET Mobile Security for Androidの最新バージョンの販売を開始しました。 - Virus Bulletinカンファレンス2013のハイライト
ESETは、英国を拠点とする独立系のセキュリティソフトウェアテスト機関であるVirus Bulletinより、81回目となるVB100アワードを獲得しました。ESET NOD32 Antivirus 6は、Windows 7 Pro OSでの動作を対象とした最新の比較レビューの全カテゴリーにおいて好成績を収めています。また、ベルリンで開催されたVB 2013 Conferenceでは、「Ethics and the AV industry in the age of WikiLeaks」と題した基調講演を行ったESETノースアメリカのCEO、Andrew Leeを皮切りに、ESETの研究チームが存在感を示しました。ESETの研究者が発表した論文は次のとおりです。- What can Big Data Security learn from the AV industry? Stephen Cobb(ESETセキュリティエバンジェリスト、ESETマルウェア研究者)
- The Real Time Threat List Righard Zwienenberg(共著)(ESETシニアリサーチフェロー)
- ACAD/Medre: industrial espionage in Latin America? Robert Lipovsky(ESETセキュリティインテリジェンスチームのリーダー)およびSebastian Bortnik(ESETラテンアメリカ教育/リサーチマネージャー)
- Mac hacking: the way to better testing? David Harley(ESETリサーチフェロー)およびLysa Myers(ESETセキュリティ研究者)
- 勢い衰えないランサムウェア「Nymaim」
カナダのモントリオールに所在するESETのマルウェア研究施設ではここ数週、ランサムウェアとして機能する悪名高いダウンロード型トロイの木馬Nymaimを調査しています。Nymaimは、Webサーバーを乗っ取って、いまわしい攻撃ツール「Blackhole Exploit Kit」が組み込まれたページにユーザーをリダイレクトする、Darkleechという別のマルウェアを通じて拡散されます。Darkleechは多数の著名なWebサイトに感染し、ユーザーがお気に入りのサイトを閲覧中に問題を引き起こします。調査を進めていく中で、分析チームは世界各地で異なるデザインのロック画面をいくつか収集することに成功し、Nymaimがヨーロッパや北米の国々に向けてカスタマイズされている事実を突き止めています。また、このダウンロード型トロイの木馬による感染例と、拡散のための新たな感染経路(検索エンジンを悪用するBlack Hat SEO)も確認されています。ESETでは、このタイプの脅威からユーザーを保護するべく、自社のフラッグシップ製品であるESET NOD32 Antivirusと、ESET Smart Securityの最新バージョンとなる第7世代を2013年10月にリリースしています。Advanced Memory Scannerをはじめとする各種機能により、ランサムウェア型のトロイの木馬に対するセキュリティが一層強力になります。 - 中国で感染が拡大している「Win32/KanKan」
こちらのWeLiveSecurityのブログ記事では、カナダを拠点とするESETの研究チームが、最近注目を集めているソフトウェア(ESET製品ではWin32/Kankanとして検出)を解説しています。注目されている理由は次のとおりです。- Office機能なしのOfficeプラグインを登録し、システムに永続的に存在することを可能とする。
- USBデバッグを通じてコンピューターに接続しているAndroid搭載端末に、モバイルアプリを密かにインストールする。
- 世界で最も広く普及しているTorrentクライアントの開発元として注目を集める、中国大手企業Xunlei Networking Technologiesによって署名されている。
- 今日のアンチウイルス業界が抱える問題
ESETセキュリティエバンジェリストのPeter Stancikは、WeLiveSecurityのブログ記事でアンチウイルス業界の課題について論じています。標的型攻撃であれ、大規模な拡散活動であれ、今日の脅威が採用する悪意のあるコードの検出とブロックはここ最近、加害者とのいたちごっこの様相を呈しています。脅威の動向や最新マルウェアのトレンドにおいて変化が確認されているとはいえ、「マルウェアの問題」は私たちにいまだ大きく関わっています。わかりやすく言うと、今日のほとんどのマルウェアは、国境を越えて活動する犯罪組織によって実行または購入されているのです。マルウェア作成に情熱を注ぐユーザーも一部存在しますが、彼らは放っておいても問題はありません。大部分のマルウェア攻撃は機能性に優れ、ユーザー感染という点である程度の成果を上げていると言えます。 - ESET Cyber Securityソリューション、Mac OS X 10.9 Mavericksをサポート
ESETは、Apple OS X 10.9 Mavericksのリリースに伴い、この最新オペレーティングシステムと統合して動作するようにESET Cyber Security ProとESET Cyber Securityを更新しています。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年10月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.9%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
詳細については、ESETの概要とプレスセンターをご覧ください。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。