トレンドマイクロは10月31日、公式ブログで「『カード情報詐取を狙うECサイト改ざん』と『ネットバンキング二要素認証突破型フィッシング』、2019年第3四半期の脅威動向を分析」と題する記事を公開しました。同社では、日本と海外のセキュリティ動向を分析した報告書「2019年第3四半期セキュリティラウンドアップ」を公開しており、それをもとにした内容です。
この第3四半期(7~9月)に、国内では「認証」や「決済」に関連した脅威が拡大しました。特に、「国内ネットバンキングの二要素認証の突破を狙ったと考えられるフィッシングサイトの攻撃」が9月に急増、「脆弱性を利用したECサイト改ざんを発端に利用者のクレジットカード情報が詐取される被害事例」の公表も相次ぎました。
二要素認証の突破を狙うフィッシングでは、不安を煽る内容のフィッシングメールやSMSを利用者に送り付け、正規サイトに偽装したフィッシングサイトへ誘導。ログオン情報、さらに二要素認証を入力させ、情報と金銭を詐取します。これに対し、警察庁と日本サイバー犯罪対策センター(JC3)、国内大手銀行5行等は、同手口に関して注意を呼びかけています。
メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)
2019年第3四半期セキュリティラウンドアップ「ECサイト改ざんと二要素認証突破が拡大」表紙