みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

トップ > インシデント > Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に

Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に

インシデント サイバーセキュリティ ベンダーレポート

f:id:micro_keyword:20201019150641j:plain:w400

メールセキュリティに強みを持つセキュリティベンダーProofpointにより、Amazon Japanを装ったフィッシングメールに関する調査記事が公開されました。

Amazon Japanを装ったフィッシングメールは、2020年の8月から10月にかけて増加しており、脅威としてEmotetを配布するメールの規模と同規模にまで成長しているとの内容です。

www.proofpoint.com

本記事では、観測状況と攻撃の特徴についてまとめます。

目次

2020年10月現在の観測状況

Proofpointでは、2020年8月ごろから継続して当該フィッシングキャンペーンを調査していて、毎日数十万規模でメッセージが送信されていることや、10月中旬の時点で一日当たり100万件を超える日があることを、確認しているとのことです。

以下、観測状況を表す図と表になります。

https://www.proofpoint.com/sites/default/files/inline-images/figure11_message_volume.png

1日あたりの平均メッセージ量
8月 122,000
9月 424,000
10月 750,000

また、調査自体は8月からであるものの、関連する攻撃は2020年6月ごろから確認されているようです。

どんなメールか?

最近は、送信元メールアドレスを偽装したメールも存在するので、メールアドレスの表面的な確認だけで偽装を見分けるのは不十分です。

ただ、未だに、メールアドレス自体が不審なものは多々存在するので、判断のための一つの基準にはなります。

今回のフィッシングメールでは、活動の初期と10月以降で使われるメールアドレスに変化がみられています。

活動の初期(8~9月) 10月に入ってから
rmlirozna[@]pw[.]com
fwgajk[@]zfpx[.]cn
info[@]bnwuabd[.]xyz
dc[@]usodeavp[.]com		 amaozn[@]ama2on[.]buzz
accout-update[@]amazon[.]co[.]jp
account-update[@]amazon[.]com
admin[@]amazon-mail[.]gol

ご覧の通り、よりそれらしいメールアドレスに変化しています。

これらのメールアドレスを用いて送られてくるメールとして、以下の3パターンが紹介されていますので、併せてご確認ください。

  • アカウントの所有権確認を促すメール

https://www.proofpoint.com/sites/default/files/inline-images/figure1_amazon_confirm_ownership.png

  • 支払い方法の情報更新を促すメール

https://www.proofpoint.com/sites/default/files/inline-images/figure2_amazon_updated_payment_info.png

  • アカウントロックの疑いに対して確認を促すメール

https://www.proofpoint.com/sites/default/files/inline-images/figure3_amazon_your_account_is_locked2.png

リンクを開いてしまうと?

フィッシングメールを受信したのち、メール中のリンクを開くと、フィッシングメールに応じた個人情報やクレジットカード番号取得を狙うフィッシングページに誘導されます。

以下は、Proofpointに公開された、取得を試みるフィッシングページとその情報です。

https://www.proofpoint.com/sites/default/files/inline-images/figure7_amazon_info_phish.png

フィッシングページでは、クレジットカード番号や郵便番号の正当性を確認するので、失敗すると、以下のようなメッセージが表示されます。

https://www.proofpoint.com/sites/default/files/inline-images/figure8_invalid_CC.png

トラフィックを確認すると、確かに郵便番号検証のためにzipcloud.ibsnet[.]co.jpへアクセスしていること、クレジットカード番号検証のために/ap/actions/validate?cxdi=へアクセスしていることが確認できます。

https://www.proofpoint.com/sites/default/files/inline-images/figure9_zip_CC_validation.png

なお、Proofpointの検証では、日本に存在しない、でたらめな郵便番号が通ってしまったようで、必ずしも正確なわけではなさそうです。

そして、フィッシング情報の取得に成功すると、以下の画面が表示され、正規のAmazon Japanのサイトに誘導されます。

https://www.proofpoint.com/sites/default/files/inline-images/figure10_thanks_you_can_login.png

また、これらフィッシングサイトがホスティングされているサイトとして、Proofpointから統計が公開されています。

https://www.proofpoint.com/sites/default/files/inline-images/figure12_amazon_IP_ASN.png

誰に送られる?

Proofpointによると、今回のAmazon Japanのフィッシングメール送信先

  • 日本を拠点とする組織
  • 日本に拠点を持つ組織

だと、述べています。

ただ、地理的情報以上に配布先の共通点はなく、標的型ではない、ばらまき型の攻撃だとわかります。

なお、配布されたメールは日本の受信者のみがフィッシングサイトに誘導されるよう細工されており、日本国外からのアクセスに対しては、正規のAmazon Japanログインページへの誘導を行うようです。

フィッシングメールやサイトを見つけたら

もし今回のような、フィッシングメールやサイトを見つけた場合には、Amazon Japanが公開している以下のページへ連絡するのがよさそうです。

www.amazon.co.jp

併せて、フィッシング対策協議会への報告もできると、法執行機関(警察等)及び関係組織(騙られた被害組織等)にも広く情報連携される可能性があるので、よりよいかなと思っています。

www.antiphishing.jp

まとめ

筆者自身もAmazonを活用して、日用品の購入や動画の視聴を行っています。

おそらく、私だけでなく日本国内、多くの人の生活の中でAmazonの利用は進んでいると思うので、今回のようなフィッシングメールは被害も多いのではないかと思います。

もっと言うと、今回のケースだと、最終的には正規のサイトへと誘導されるので、だまされていることにすら気づかないことも多々あるのではないかと思います。

セキュリティ担当者の方だけでなく、お友達や知人の方にも伝えていただいて、「これって詐欺だったの!?」と気づかせるところからでも、被害防止につなげられるといいなと思います。