-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0049
                                                             JPCERT/CC
                                                            2021-11-16

                  <<< JPCERT/CC Alert 2021-11-16 >>>

Webメールサービスのアカウントを標的としたフィッシングに関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210049.html


I. 概要
Webメールサービスのアカウント情報の詐取を目的としたフィッシングの被害
に関するJPCERT/CCへの報告が増加しています。こうした攻撃は2020年初頭か
ら確認されていますが、2021年6月以降に報告件数が増加しています。

https://www.jpcert.or.jp/at/2021/at210049_fig1.png
［図1：Webメールサービスのアカウントを標的としたフィッシングに関する報告件数］

Webメールサービスのメンテナンスやお知らせなどをかたったメールが送られ
ており、メールの本文中のリンクへ接続すると、同サービスのログイン画面に
なりすましたサイトに誘導されます。そのサイトでメールアドレスとパスワー
ドなどを入力して情報を送信すると、攻撃者にアカウント情報が詐取されます。
また、詐取されたアカウント情報は、別のフィッシングメールを送るための踏
み台として攻撃者に悪用され、さらなる攻撃が展開されます。

https://www.jpcert.or.jp/at/2021/at210049_fig2.png
［図2：攻撃の流れや手法のイメージ図］

こうした状況から、被害の拡大を防ぐため、攻撃手法や被害を受けた場合の影
響を解説するとともに、被害を未然に防ぐ対策や、被害を受けてしまった場合
の事後対応に関する情報をまとめました。


II. 攻撃手法
攻撃者は、Webメールサービスのアカウント情報の詐取を目的として、サービ
ス事業者になりすましたメールを送り、メールの受信者をフィッシングサイト
に誘導します。ここでは、これまで確認されているメールの件名や本文、フィッ
シングサイトの特徴などを紹介します。

＜メールの件名や本文＞
 メールの件名や本文は、Webメールサービスに関する通知をかたった内容です。
本文中にはアクセスを促す内容が日本語で記述されています。

https://www.jpcert.or.jp/at/2021/at210049_fig3.png
［図3：フィッシングメール（例）のイメージ図］

2021年11月に確認したメールの件名の一例です。

  - メールプラン、セキュリティ強化第2弾リリースのお知らせ
  - メールボックスの割り当てを更新する - [受信者メールアドレス]
  - 削除のフラグが立てられたアカウント
  - [通知 ] 受信メールの配信が一時停止されました-(受信者メールアドレス)
  - 【重要】サービス停止のお知らせ - [受信者メールアドレス]
  - 【重要】2021年11月8日（月）のサービス復旧のお知らせ。
  - 【サーバーアップグレード】メンテナンス作業のお知らせ（2021年11月02日）

メールの本文中に含まれるリンクには、受信者のメールアドレスが含まれてい
ることが多く、アクセスすると、メールアドレスがすでに入力された状態のフィッ
シングサイトに誘導されます。リンクに接続すると、URLに含まれるメールア
ドレスが有効であるという情報が攻撃者に知られてしまうため、URLへのアク
セスはしないよう注意してください。

＜メールの送信元および送信先＞
 フィッシングメールの送信先は企業、学校、一般個人など多岐にわたっており、
標的を絞らずに無差別に攻撃していると考えられます。メールの送信元として
は、こうしたフィッシング詐欺の手口によって詐取された被害者のメールアカ
ウントが悪用されています。

＜フィッシングサイトの特徴＞
 メールの本文中のリンクに接続すると、主に汎用的なWebメールサービスや一
部のプロバイダーメールサービスになりすましたサイトのログイン画面が表示
されます。サイトにメールアドレスとパスワードを入力しLoginを押すと、そ
の情報が攻撃者に詐取されます。

https://www.jpcert.or.jp/at/2021/at210049_fig4.png
［図4：フィッシングサイトのログイン画面の一例］

ログイン画面のユーザー名の部分に、メールの受信者のメールアドレスが入力
されているのが特徴です。あたかも過去にログインしたことがあるページであ
ると思わせるための手法と考えられます。

また、フィッシングサイトとして、改ざんされた正規のサイトに設置されたペー
ジが使われるケースも多く、セキュリティ製品のフィルタリング機能などでサ
イトへの接続がブロックされず、サイトへ接続できてしまう可能性が高いと考
えられます。


III. 影響
フィッシングサイトで盗まれたメールアカウントは、攻撃者によってさらなる
フィッシングメールの送信元として悪用されます。

送信元として悪用されるまでの期間はおよそ1-2日程度と非常に短く、悪用さ
れてから被害に気が付いたという報告もあります。こういった手法は「ラテラ
ルフィッシング」と呼ばれており、アカウント詐取被害が増えるほど、より攻
撃者のメール配信能力が強化される特徴があります。

そのほか、メールアカウントでメールが盗み見られる、アカウント情報が売買
される、ビジネスメール詐欺などの他の攻撃の発端となるなどの可能性があり
ます。


IV. 対策
一般的なフィッシングの対策と同様、次のような対策の徹底を推奨します。
また、このようなメールに注意するよう、組織内などでの注意の呼びかけをご
検討ください。

  (1) メールの文中のリンクは安易にクリックしない
    - リンク先がログイン画面となるものは危険なサイトと考え、パスワードなどを入力しない

  (2) 正しいドメイン名を確認し、ブックマークから接続する
    - オンラインサービス初回利用時に、ブラウザーのブックマークなどに登録し、利用時にはブックマークから接続するよう心掛ける

    フィッシング対策協議会
    利用者向けフィッシング詐欺対策ガイドライン 2021年度版
    https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2021.pdf


V. 事後対応
こうしたフィッシングの被害を受けたことに気が付くタイミングとして、次の
ような状況が考えられます。

  - (1) サイトに認証情報を入力した後、期待した手続き画面に進まなかった
  - (2) サイトに認証情報を入力するもエラーでログインできなかった
  - (3) メールアカウントから心当たりのないメールが送信されている

こうした状況を確認している場合、第三者にアカウント情報が詐取されている、
あるいはアカウントが侵害されている可能性が考えられることから、被害の最
小化のため、次のような対応をご検討ください。

  - (1) アカウントのパスワードを変更し、多要素認証の導入を検討する
  - (2) 同じパスワードで登録している別サービスのアカウントのパスワードを変更する
  - (3) サービス事業者などへ連絡および相談する

JPCEET/CCではメールの送信元として悪用されるメールアドレスやフィッシン
グサイトに関する情報を収集しています。フィッシングメールを受信した場合
は次のフォームにてご連絡いただけますと幸いです。

    JPCERT/CC
    インシデントの報告（Webフォーム）
    https://form.jpcert.or.jp/


VI. 参考情報
    フィッシング対策協議会
    フィッシングとは
    https://www.antiphishing.jp/consumer/abt_phishing.html

    JPCERT/CC
    STOP! パスワード使い回し!
    https://www.jpcert.or.jp/pr/stop-password.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJhkysmAAoJEKntH+qu5CT/kSkP/Aqnk60zYwpIOafjt556NWL3
TdlR0aot5DbgWb+Y639JPBtZsmZOkyd5+DcM1FXGfUYrCUK9dnLxCkhzNX5BPgVg
lb8HISK2DbBswjDjNxOKvn7G3Ct5A8bHd9QHeeO2s1Zn81VtcyR/ZbPjZg8SyrJ8
C33+y3m7z6cPejYEwNibQgj9PS0iohJoXdHWT8z4bv6i5N/uRKZU6cqoL0usmcJ+
Kz2A2eGgq1B21cxa447cDoDUcioDe271U4vhulgPErSt+3NWTq/gP1KcGkororJ3
iJYCtehVXnhUK+kCN84lc1HyDDLEcUkj93nAYeWDx2ZE6bpXuQ0ZQ6Lfh6aRv90C
CZXUTu39c9+Um6yRjA2DW0TqfoqrtAuMk2qs7Y85xxXcppxytbE9GMzK1t2a8IME
NPeJ1rEHVTNNWMHnm6D+TfWBh3n/uluYViDsMdN+bdNtVecHLjqKCSzIjfHDjxUA
SDPdNhyzaE56UKKK0B2EBkw5nkOYN9sja0GU+9Ty0zn+7mTdLaVhW+nBTYjdH794
PEz0DUgr1upPb1wbOHu16x+4vbK/ClHTNRtSW6blMX1zY2JL5uS2zK/q+qKJl7Mu
LM1+es6Qnrgp3QdIg+8sONsDrJ3wjmTBPFy5XIU2aQq1HN4xXb7cO49mbRVdX5Wv
a1//C/bF61sXW4CmzzY5
=XWAU
-----END PGP SIGNATURE-----