PR

 佐川急便をかたるフィッシングが2018年7月に話題になりました。攻撃手法が時期によって変わったり、フィッシングサイトに使うドメイン名が多彩であったりすることが特徴です。今回はこの攻撃を調査しました。

ショートメールで届く

 企業などをかたるメールやWebサイトを使って、ユーザーをだます攻撃がフィッシングです。フィッシングで使われるメールはフィッシングメール、Webサイトはフィッシングサイトなどと呼ばれます。

 佐川急便のフィッシングでは、ショートメール(SMS)が使われていました。ショートメールには、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください」といったメッセージとともにURLが記載されています(図1)。URL携帯番号 認証コードに「sagawa」の文字があるので、宅配業者である佐川急便の不在通知を装ったようです。

図1●2018年7月下旬に届いたフィッシングショートメール
図1●2018年7月下旬に届いたフィッシングショートメール
宅配便の不在通知を装ったショートメール(SMS)が2017年12月ごろから見つかっている。リンクをクリックすると佐川急便のフィッシングサイトが開く。画面内にあるドメインを含めて、本記事内にある攻撃者のドメインは、ウイルス感染などの被害を受ける可能性があるため、アクセスしないこと。
[画像のクリックで拡大表示]

 URLをクリックすると、佐川急便のWebサイトにそっくりなフィッシングサイトが開きます(図2)。パソコン用の画面で比較したところ、荷物の所在確認に使う「お荷物問い合わせサービス」が、フィッシングサイトでは「貨物追跡サービス」に変わっていることがわかりました。またフィッシングサイトの画面下部には、「51La」という文字列が表示されます。51Laは、中国のサービスプロバイダーの名前ですが、関連性はわかりません。

図2●佐川急便の正規のサイトとフィッシングサイトの主な違い
図2●佐川急便の正規のサイトとフィッシングサイトの主な違い
見つかったフィッシングサイトを佐川急便のWebサイトと比較すると、荷物の所在を確認する「お荷物問い合わせサービス」部分が異なる。またフィッシングサイトの画面下部には「51La」と表示された。これら以外にほとんど差はない。
[画像のクリックで拡大表示]

不正アプリをダウンロード

 2018年7月までに確認されたフィッシングサイトでは、Androidのスマートフォン(スマホ)でアクセスして「貨物追跡サービス」をクリックすると「sagawa.apk」というアプリファイルがダウンロードされました(図3)。ユーザーがこのファイルをインストールしてしまうと、スマホ内の情報を外部に送ったり、スマホの連絡先にフィッシングショートメールを送ったりします。また、スマホのパスワードを変更したり、ファイルを削除したり、別のアプリをインストールしたりするといった挙動も確認されています。

図3●不正なアプリをダウンロードさせるフィッシングサイト
図3●不正なアプリをダウンロードさせるフィッシングサイト
2018年7月までに確認されたフィッシングサイトは、Androidのスマートフォン(Androidスマホ)でアクセスすると、不正なアプリをインストールさせるファイルをダウンロードするようになっていた。iPhoneでアクセスした場合には、ファイルはダウンロードされなかった。
[画像のクリックで拡大表示]

 sagawa.apkはかなり多くの種類があるようです。ウイルス検索サービス「VirusTotal」で調べたところ、sagawa.apkのハッシュ値が200近く登録されていました。種類によって挙動が違っていたと思われます。

攻撃手法が変わった

 佐川急便のフィッシングは現在もありますが、2018年8月以降、攻撃手法が変わりました。

 「貨物追跡サービス」をクリックすると、携帯番号の入力画面が表示されるようになりました(図4上)。携帯番号の代わりに適当な数字を入力すると、認証コードの入力画面が表示されました。ここでも認証コードの代わりに適当な文字列を入れたところ、次には進めませんでした。

図4●2018年8月以降のフィッシングサイト
図4●2018年8月以降のフィッシングサイト
2018年8月以降に見つかったフィッシングサイトでは、ユーザーの携帯番号とSMSによる認証コードを詐取するサイトに変わった。SMS認証を突破するために詐取している可能性がある。
[画像のクリックで拡大表示]

 こうした挙動から推測すると、携帯番号とSMSで認証するサービスに対して、攻撃者が不正ログインを試みている可能性があります(同下)。