トレンドマイクロは3月24日、公式ブログで「『ダミーの正規サイト』で検出回避を試みるフィッシング詐欺手口を解説」と題する記事を公開しました。一般企業が運営するサイトのように見せかけ、フィッシングサイトを設置する新たな手口が確認されたとのことです。

今回確認されている手口では、プロバイダからのメールに偽装したフィッシングメールを受け取るところから始まっていました。メール内のリンクをクリックすると、あるドメイン上に作成されたページに誘導されます。このページは電子メールシステムのログイン画面のようになっていますが偽の画面です。

ここまでは一般的なフィッシングの手口と同じです。しかし、確認のためにそのドメインのトップページにアクセスすると、一般企業のようなホームページが表示されます。この点がこれまでのフィッシングの手口とは異なります。
一見一般企業のホームページを装ったこのページは、「表示された画像のブランド名がドメインと一致しない」、「珍しいTLD(トップレベルドメイン)である『.pro』が使用されている(一般的なTLDである.com、.net、.jpよりも安価で利用可能)」、「テンプレートに含まれるダミー文章の定型文に似た残骸がサイト上で確認できた」、「ドメインが登録されてから1年経っていない(不正ドメインは短期間内に登録されている場合が多い)」など不審な点が多く、偽のコンテンツと判断されました。

この手口の狙いは、正規の企業サイトだとセキュリティベンダーに思わせることで、そのドメインが不正サイトとして登録されてしまうのを防ぎ、一般的なセキュリティソフトウェアが備えるアンチスパム機能や不正URLブロック機能などを回避するためと考えられます。このようなセキュリティ製品による検知の回避策を携えたドメインを仕立てることで、サイバー犯罪者はそのドメインの配下に検知されにくいフィッシングサイトを作ることができるわけです。

■対策
メールのフィルタリング機能やセキュリティソフトを使い、不正なメールの受信そのものを防ぐことが、まず有効な対策となります。メールの内容においても、メールアドレス、本文、リンクに一貫性がないなど不審な点がないか十分確認してください。基本的にはメール内のリンクはクリックせず、利用しているサービスであればブックマークあるいは社内のイントラなどからアクセスして通知内容を確認してください。もしメール内のリンクを選択してクリックする場合は、リンク先に不自然な文章がないか、あるいはリンク先ドメインとサイト内容の整合が取れているかどうか確認しましょう。不審なメールを受け取った場合は、速やかに組織のセキュリティ担当部門や担当者に相談してください。

• サイバー攻撃
• フィッシング
• いまどきのネット犯罪
• 社会人のセキュリティ心得