2020/12/11

Amazon でのフィッシングにご注意！

2020 年 12 月 11 日 Josh Stuifbergen 著

信用できるオンラインストアを見つけ、確かな評判の商品を選び、支払情報を入力し、Web サイトのアカウントにサインインし、最後に「注文確定」をクリックする。このプロセスだけで、ホリデーシーズンギフトのお買い物はすべて完了です。本当に最後のステップは「荷物を受け取る」ことです。これも買い物のプロセスの一部だとは意識することはあまりないかもしれませんが、注文した品を追跡して受領するというシンプルなプロセスでも、フィッシングの危険性は存在します。

ジョン

わぁ、買い物って本当に簡単だなぁ！　簡単な操作で、ずっと欲しかったあのヨーヨーを買おう！

ちょっと待ってください！　残念ながら、それだけで終わる話ではないのです。悪意のある攻撃者は個人情報を手に入れて、あわよくばあなたのコンピュータを乗っ取ろうしています。現在横行しているフィッシングのスキームの例を以下に示します。

コンピュータのセキュリティを侵害したり、銀行口座の認証情報を危険に晒したりする可能性のある、荷物の発送に関する連絡を悪用するフィッシング攻撃をすべて回避するためには、細心の注意が必要です。

amazonfindorder[.]us というドメインは、2020 年 12 月 8 日時点でまだ有効です。このサイトと関連のあった trackmyorder[.]us はすでに有効ではありません。ウォッチガードが 2020 年 12 月 2 日に初めてこのサイトを発見した際には、銀行情報のセクションは存在しませんでした。狡猾な犯罪者たちは、絶えず攻撃を巧妙化しています。

このサイトでは 4 つのページがホストされていました。「Track My Order（荷物の追跡）」「Support（サポート）」「Refund（返金）」「Banking（銀行口座）」です。以下でそれぞれの詳細を見ていきます。

このサイトは多くの点で不審です。まずは HTTP を使用していることです。Amazon のサイトであれば、当然 HTTPS の保護マークが表示されているはずです。米国 Amazon のサイトであるにもかかわらず URL が「.com」ではなく「.us」で終わっていることも不自然です。また、ページ最上部の検索バーは操作できず、単なる画像になっていること。さらに、検索バーの隣の表示が「Amazon.in」とインドの国旗であることも、米国のサイトとしては不自然です。

「About Us」ページが掲載されたページ下部のセクションも、画像が貼られているだけであり、クリックすることができません。

「荷物の追跡」ページでは、どのような情報を入力しても同じ内容のページに遷移します。下記画像において各欄のデータはあまり鮮明に見えませんが、以下のような情報が入力されています。ファーストネームは「Sam」、姓は「ShammyPants」、メールアドレスは「ShammyPants@gmail.com」、それに偽の電話番号と荷物追跡番号です。

どのような情報を入力しても、結果表示されるページは「Apple の iPhone 11 が Williams Mark に配達される」という内容です。

ジョン

でも、僕はヨーヨーを注文しただけなのに、なんでこんなページが表示されるの？

ジョン君、ちょっと考えてみてください。どのようにしてこのページにたどり着きましたか？　なぜ赤の他人の名前が表示されているのだと思いますか？　このサイトはもしかして…フィッシングなのではありませんか？
ジョン

そうかも

そうです。気が付いてよかったですね。

サポートページへは Amazon ではなく、サードパーティ製のアプリケーションから接続するようユーザに要求されますが、リストされているプログラムである TeamViewer、AnyDesk、RemotePC などはすべてリモートアクセスを可能にするものです。これは攻撃者があなたのコンピュータへアクセスしようとしている可能性を示唆しています。

一方で、返金ページには Google フォームが使用されています。Amazon がこのような手法でユーザデータを収集することはありません。フォーム上では、氏名、電話番号、住所（州、市）、メールアドレス、返金金額、返金理由、銀行名、口座種別を入力させられます。

入力したデータにかかわらず、トランザクションの番号は毎回同一です。

銀行口座情報のセクションでは、銀行名のリストの順番が無秩序に、大文字と小文字の区別も不正確な状態で表示されます。

この Web サイトは現在までしばらくの間有効な状態を保っています。すでに無効になった trackmyorder[.]us のドメインは、amazonfindorder[.]us 上の「荷物の追跡」セクションにリダイレクトされていましたが、現在有効なドメインは amazonfindorder[.]us のみです。Trilogy Media は自社の Facebook ページでこの詐欺について警告する内容の投稿を出しています。

PhishStats（@PhishStats）も、最近 Twitter で同様の警告を出しています。

さて、ここまで見てきたような情報は、本当にこのサイトがフィッシングであるという証拠であるかというと、必ずしもそうとは言えません。今回の調査では、サイトをホストする人物から実際に返信を受け取ることのできるメールアドレスや電話番号を使用していませんでした。しかし依然として推測できることは、攻撃者はユーザの詳細をできるだけ多く収集しようとしているということです。返金要求がユーザから送られてきた時点で、その情報を利用して騙すことが目的です。攻撃者の目的は多岐にわたります。まずは、ユーザの銀行口座の詳細を取得すること。もう 1 つは、リモートユーザアクセスソフトウェアをインストールさせ、情報を盗んだりマルウェアをインストールさせたりする、もしくはその両方を行うことです。いずれにしてもこの Web サイトが非常に不審であることに変わりはないため、アクセスは避け、ブラックリストに載せるべきです。