技術開発部セキュリティユニットの小林です。
開催中の大規模スポーツイベントに便乗したサイバー犯罪が報告されています。^1
端的に言えば「無料で試合をインターネット中継します」という触れ込みで、メールアドレスやパスワード、クレジットカード番号の窃取を試みるものです。この記事では、同じ手法の攻撃を観測したこと、またその他のスポーツイベントに対しても同様の手口による攻撃を観測したことから、スクリーンショットを交えて報告します。
観測した事象
(以下で提示する画像は、都合により一部マスクしているところがあります)
2019/11/08追記: 事態を確認した時点で関係機関に連絡しており、下記の踏み台にされているページはすでに削除されています。
Googleで「フランス トンガ live」をキーワードに検索した結果がこちらです(シークレットモードを利用しています)。
トップニュース下の、検索結果の第1位に挙げられたサイトをご覧ください。サムネイルに「LIVE」や「進行中」の文字があり、正規のインターネット中継に見えます。
これをクリックして遷移すると、いくつかのリダイレクトの後、いかにもライブ中継が見られそうなページに着地します。
ここでスクリーン上の再生ボタンを押すと、アカウントが必要であることが示され、そのために「CREATE FREE ACCOUNT」を押すよう促されます。これをクリックすると次のページに飛ばされます。ちなみにWATCH LIVE、SIGNUP NOWのどれを押しても同じページに飛ばされます。
簡単なユーザー登録を済ませればいろいろな映像を見られそうな雰囲気がありますが、実体はそうではありません。勘の鋭い方は日本語がおかしいので気づけるかもしれません。右側の「無料でお申し込み頂けます!」の欄に入力されたメールアドレスとパスワードが攻撃者に窃取されます。
このほかに、当初遷移したサイト(マスクしてあるサイト)のドメインをGoogleで検索したところ、このように表示されました。オレンジの枠で囲った部分に、今回と同様の意図が見られるページが表示されています。
なお図の最上位に表示されているページにアクセスすると、ドメインの所有者が運営しているサイトが表示されました。このことは、すでにこのサイトが攻撃者によって乗っ取られており、サイト管理者の目の届かないところで攻撃キャンペーンの踏み台として使われていたことを示唆しています。
Google ChromeやMozilla Firefoxブラウザにはフィッシングサイトやマルウェアに関係したサイトを閲覧しようとするとブロックする機能がありますが、記事執筆時点(2019年10月8日)でGoogle Chrome 77とFirefox 69で同サイトを閲覧しても特にブロックされることはありませんでした。
想定される被害
なぜメールアドレスとパスワードの取得が脅威になるかといえば、「メールアドレスは日頃よく使うものを入力しがち」「パスワードは少ない種類を使い回しがち」という人間の特徴を押さえていることによります。攻撃者は窃取したメールアドレスとパスワードの組み合わせを、リスト型攻撃に利用することが想定されます。想定される被害としてはアカウント情報を使い回しているサイトになりすましログインされ、ECサイトであれば身に覚えのない買い物をされたり、銀行や送金サービスなど金銭を扱うサイトであれば不正に送金されるなどが考えられます。
また攻撃者にとって「生きている」メールアドレスは価値が高い情報です。フィッシング詐欺やスパムキャンペーンのリストに登録される可能性も出てきます。あるいは過去に既に流出したアカウントリストと照合され、新たなアカウント情報としてリスト型攻撃に使われることも考えられます。
どうすればよいか
身も蓋もありませんが、まずはこのようなサイトにたどり着かないことが第一です。そのためにはTVerやNHK、J SportsやDAZNなど素性が分かっているサイトで視聴することが重要です。
上の悪性サイトが謳うような、「無料」「広告なし」「高品質」で「あらゆるコンテンツ」が視聴できるほどうまい話はありません。このようなコンテンツは、インターネット・地上波・BS・CSにかかわらず放送している会社が権利元に放映権料を払って配信・放送しているので、広告なしの無料というのは商業上考えられない状況です。
しかし、誰が公式配信者であるかが一目では分かりにくいため、自衛策としては怪しいサイトに気づくしかないという状況にあります。
一般論として、リスト型攻撃を回避するためにはパスワードを使い回さないことが一番です。そのためにはパスワード管理ソフトを使い、アカウント情報を代わりに覚えさせておく方法が考えられます。一つのマスターパスワードさえ自分で覚えておけば、Webサイトごとに異なるアカウント情報を安全に記録できます。ランダムなパスワードを自動的に生成する機能と合わせて使うことが前提になります。
読者のみなさまもくれぐれもご注意ください。