最近、航空券予約の確認を装うフィッシングメールが出回っています。フィッシングとして新しい手口ではありませんが、今回のメールとフィッシングに関連する Web サイトは特徴的で、一見したところ正規のサイトのように見えます。メールには、クレジットカードでの支払いを確認する文面が書かれており、航空券とフライト情報を印刷するには本文中のリンクをクリックするように指示されています。
メール自体はテキスト形式で、特に変わったところはないように見えます。しかし、さらに詳しく調べると、送信元のドメインが詐称されており、実際には航空会社とも関係がないことがわかりました。よく似てはいますが、詐称されている実際の送信元ドメインは空気清浄機と掃除機の会社であり、航空会社とは縁もゆかりもありません。詐称しようとしている航空会社と送信元 Web サイトが一致するかどうかを確認しなかったのはスパマーの怠慢だったようで、用心深いユーザーにはメールの信憑性がすぐに疑われてしまうでしょう。もちろん、航空券を予約していなければすぐ不審に思うところですが、このメールを誤配信と考えたユーザーが、いずれにしても状況を調べようとしてリンクをクリックしてしまうことを詐欺師は期待しているのかもしれません。
メールに書かれたリンクからフィッシングドメインを調べると、正規の航空会社の Web サイトが詐欺師によって複製されていたことがわかりますが、ここにも詐欺師の手抜きがあり、偽の Web サイトは正しく表示されません。
この偽サイトでは、ユーザーが航空会社に登録しているアカウントのカード番号とパスワードを入力するよう求めています。ダミーの情報を入力したらどうなるかを調べようとしましたが、偽サイトは正しく機能せず、Web フォームが表示されません。Web フォームが壊れていて情報を盗み出せない以上、この詐欺師の努力はすべて水の泡です。そのため、今回の詐欺師の意図を見きわめるのは難しいのですが、Web フォームが機能すれば、クレジットカードと銀行口座の情報を入力するように要求されることは容易に想像できます。
メールに記されたフィッシングドメインの Whois 情報にも特筆すべき点があります。ドメインは 2 週間前に登録されたばかりですが、その登録先は著名な航空機メーカーのユーザーのメールアドレスだったのです。このことから、詐欺師はこのユーザーのメールアカウントに侵入して銀行やクレジットカードの情報を盗み出したうえで、自身の名前で偽のドメインを登録した可能性があります。このドメインの Whois 情報を見ることのできるユーザーであれば、正規の有名企業に登録されているドメインということで本物と思い込んでしまうかもしれません。
メールの署名に使われている FSA 登録番号は、まったく別の航空会社のもので、詐称されている会社の番号ではありません。今回の詐欺は Web サイトが正しく表示されないために失敗しますが、偽の Web サイトをもっと本物らしく見せ、メールの情報に間違いがないことを確認するだけの十分な時間をかけていたら、もっと判別が難しくなっていたかもしれません。
シマンテックの高度な監視システムでは、この詐欺も未然に識別され遮断されました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。