2021/12/22

社会保障番号、パスワード、それから子供の頃の夢を教えてください

2021 年 12 月 22 日 Josh Stuifbergen 著

ときどき、その大胆さが際立つフィッシングに出会います。今回ウォッチガードが遭遇したバンキングアカウント関連のフィッシングでは、認証情報として以下の項目が要求されていました。

  • ユーザ名とパスワード
  • 社会保障番号
  • 2 段階認証に使用するメールアドレスとパスワード
  • セキュリティに関する質問:
  • 子供のころになりたかった職業は?
  • 好きなスポーツ選手は?
  • 子供の頃、一番好きだった食べ物、または嫌いだった食べ物は?
  • 好きな本や映画のキャラクターは?
  • 初めて購入したアルバムは?

つまり、秘密の情報、というわけです。

フィッシングのフォーム

このフォームは、Thinkific というサービスにあるファイルのサブドメインで見つかりました。Thinkific は、オリジナルの教育コースを作成するためのサービスです。無料版があるため悪用には好都合で、攻撃者は適当なアカウントを作成して、迅速にフィッシングコンテンツを展開してきます。ただしこれは無料で利用可能なすべてのコンテンツに潜む問題であり、Thinkific だけが特別というわけではありません。このフィッシングは昨日(2021 年 12 月 21 日)検出されたばかりで、問題の URL がすぐに無害化されることが期待されます。

ウォッチガードが HTML コードを確認したところ、フォームには「Hancock Whitney Bank」というロゴがあったにもかかわらず「SunTrust Bank」という銀行への言及が多数ありました。この 2 つの銀行の関係は不明ですが、それ自体はあまり重要ではないでしょう。攻撃者は信憑性を持たせる意味合いでページ下部に免責事項の情報を追加しており、巧妙であると言えなくもありません。

フィッシングフォームの最下部

データの送信先は容易に判明しました。HTML を見ると、フォームが usebasin[.]com に送信されることが示されています。該当箇所は下記画像の下部で確認できます。

フィッシングページの HTML コード

このリンクを辿ったところ、その後削除されたことが確認できました。

フォームの送信先

フィッシング詐欺が蔓延しています。さまざまなバリエーションがありますが、多くの場合基本的な手口は同様です。今回の Hancock Whitney Bank の例はあまりに分かりやすい詐欺ですが、それでも、絶対に誰も引っかからないとは言い切れません。いずれにせよこのフィッシングは、個人情報がいかに貴重であるか、ということを示唆しています。もしパスワードマネージャを使える環境にあるのなら、ぜひ使用してください。セキュリティ上の質問に対する回答をランダムに作成し、マネージャに保存することができます。万が一、あなたや知り合いが騙されて機密データをフィッシングされたとしても、少なくともその情報は当該アカウントにしか適用されず、他のアカウントにアクセスされることを防げます。

電子メールのパスワードを入れるべき場面以外でパスワードを尋ねられたとしても、決して共有してはいけません。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)