iTunes を悪用するフィッシングの解説

7月 31, 2014 Sophos Press Release

~被害にあわないためのポイント~

※この記事は本社サイト 「Naked Security」掲載の記事を参考にしたものです※
by Paul Ducklin on July 28, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

ソフォスは、Naked Security でフィッシング脅威について、定期的に手順を追って解説しています。

今回は、典型的なフィッシングメールを検証しながら、今後どのようなところに注意をしていくべきか、解説しながら進めていきます。

フィッシング詐欺に気付く自信がある方も、ご友人やご家族が被害に遭わないよう、アドバイスできるよう、以下の説明をご覧ください。

iTunes のフィッシング

このフィッシングメールは Apple 社からのメールを装ったものです。

App Store や iTunes が提供しているコンテンツは数百億タイトルに上り、Apple ブランドはサイバー犯罪者たちの間でも人気です。

→ 2011 年末、ソフォスは 6 社の企業 URL の約 15,000 個のドメインを調査しました。具体的には打ち間違えやすいもの、URL が見間違いそうなものなど、タイポスクワット (意図的なドメイン名のスペルの間違い) を調査したところ、apple.com の 1 文字違いのドメイン名のうち 86% のドメイン名がすでに登録されていました。これらのドメインは主に不正な目的のためのもので、6 社のブランドの中で最も数が多かったのが Apple でした。

Apple ブランドを標的にしたスパムメールはよくあります。Apple 社製品の人気からターゲットが Apple 社のサービスを利用している確率は非常に高いからです。

このケースでは、サイバー犯罪者が、ユーザーに「誰かが自分のアカウントを使用して何かしているのでは」という疑いを抱かせようとしています。

次の画像には、以下の注釈の番号が付いた赤い旗が表示されています。

  1. 不正なリンク ドメイン名が疑わしいか、HTTPS などの暗号化通信が使用されていないなど、セキュリティ上問題がある


  2. 疑わしいか誤りのあるコンテンツ スペルの間違いや矛盾がある


  3. あるべきではない項目が存在偽の情報が要求されり、表示されるべきではない情報が表示されている

スパムを受け取ったユーザーが、何が起きているのかを確認しようとして、Transaction Details Here のリンクをクリックするのを犯罪者は待ちます。

赤い旗は次のことを意味しています。

  • リンクの上にカーソルを乗せると、Apple と全く関係のない URL であることが分かります。ここでは編集してありますが、実際はハッキングされた正規の Web サイトの URL です。


  • From Reply to のアドレスは Apple と無関係なうえ、公式のメールアドレスである可能性はほとんどありません。(送信者のアドレスとして表示されるテキストは、犯罪者がその気になれば、正規のメールアドレスのように偽装できるので、注意が必要です。)


  • 正しい商標は、AppStore ではなく、App Store です。


  • Apple 社は、ユーザーのパスワードが正しいかどうかの確認はできても、仕組み上、ユーザーのパスワードを知ることはできません。まして、Apple 社が ユーザーのパスワードを平文のまま保存することは絶対にないし、平文のパスワードをユーザーに送信しません。送信できるとほのめかすことも決してありません


偽の Apple Store

取引の詳細と確認しようとしてリンクをクリックすると、ブラウザには香水を販売するブティックの Web サイトが表示されます。

このサイトは合法的なビジネスですが、ほぼ間違いなく WordPress の脆弱性のある バージョンで Web サイトが作成されています。

そして、サイバー犯罪者たちの悪意あるコンテンツが埋め込まれ、信頼のあるドメイン名が犯罪に悪用されています。

ハッキングされたこの WordPress サイトは、ブラウザをフィッシングサイトにリダイレクトして、Apple 社ホームページに似たサイトを表示させます。

このページにも、先程のメールと同様に 3 つのカテゴリに該当する赤い旗を付けてみます。

  • Apple 社のものでない URL が、安全ではない (HTTPS 以外の) ページで機密情報を要求しています。


  • おそらく雑にコピー & ペーストしたために、画面の見た目に一貫性がありません。たとえば、"Purchase Confirmation" という見出しには残りのページの説明がなく、 [Cancel transaction] が "Confirm button" (確認ボタン) と説明されています。


  • クレジットカードの使用上限、母親の旧姓など、本当の決済でも 尋ねられることのない質問 があります。

Web ページの間違いからどのような推測をするかについては、言うまでもなく、それらの間違いは何か良くないことのサインであり、フィッシング詐欺を仕掛けられていると推測するべきです。一方、間違いや矛盾が存在しないからといって問題ないサイトであるとは限りません。サイバー犯罪者によって作成の精度は違うからです。

偽の SecureCode 画面

このページまで表示してしまった場合、すでに多くの個人情報が盗まれてしまっています。

次のステップでは、「確認」のために VISA または MasterCard の SecureCode を入力させようとします。

SecureCode は、クレジットカード会社に自分の身元を証明する手段として多くの取引で使用されている二次的な認証システムで、販売業者にクレジットカード情報を提供するのとは 別のステップ です。

販売業者にではなく、VISA または MasterCard に直接パスワードを提示することで、新たな検証レイヤーが追加されることが期待されています。

偽の SecureCode ページは次のようなものです。

すべてがおかしいです。SecureCode による検証は、販売業者が取引の前に要求する二次的なステップではなく、販売業者が決済処理を開始した後に、クレジットカード会社によって行われる独立したステップです。

当然ながら、この場合は決済は関係ないため、SecureCode の認証ページは表示されません。

ここまで表示されたら、ユーザーはすでに処理された取引について身元を証明しようとしていることを、覚えておく必要があります。

安心させるためのページ

この段階で、カード情報に加えて SecureCode も入手し、少なくとも不注意な銀行であれば、本人になりすませるだけの情報がサイバー犯罪者の手に渡ってしまっています。

ここまでくると、サイバー犯罪者は、ユーザーの取引明細書の送付先を変えたり、通知先や 二要素認証に使用している電話番号を変更したり、さらに多くの情報を入手して、ユーザーが銀行口座にアクセスできないようにしたりできる可能性があります。

この場合、ユーザーが問題に気付くまで時間がかかり、発見した問題の報告と修正は困難な状態になっているため、サイバー犯罪者はより時間をかけて金銭を盗み出すことができるようになります。

フィッシング詐欺の最終段階として、取引が正常に終了したとユーザーを安心させます。

このページは視覚的な演出に過ぎませんが、ユーザーは URL が Apple 関連であることと、HTTPS が使用されていたと考えます。

最終的にユーザーを安心させるために、本物の Apple Store にリダイレクトして、「取引」が突然終了して疑われるのを回避します。

皮肉なことに、ここまでは疑っていなかったユーザーも、この最終ステップで警戒するようになるはずです。

なぜなら、ここで初めて突然に本当の Apple のURL と思われ、HTTPS を使用している URL が表示されるからです。

また、このサイトとそれ以前に表示されていたページでは、見た目に小さいけれども明らかな違いがいくつか存在しています。

したがって、この最終ページのおかげで、それまでのページのインチキ臭さが浮き彫りになるかもしれません。

そうなった場合には、直ちに行動を起こす必要があります。特に、ユーザーから直接金銭を巻き上げるのではなく、第三者に認証情報を売ろうとしているのであれば、まだチャンスがあります。

今すぐカード発行会社に電話してください。そして、2度と詐欺に引っかからないようにカード裏面に印刷されている電話番号にかけてください。