公式を騙る偽サイトの注意喚起

はじめに

2017年1月頃より、「OFFICEのプロダクトキーが不正コピーされています」のような件名のメールが届き、リンク先のURLにおいて、個人情報やアカウント情報・クレジットカード情報を入力させようとする事象が発生しました。

このサイトはフィッシングサイトとされていますが、今までのフィッシングサイトと比べて、本物のサイトと思い込んで個人情報を入力する方が多かったため、同様のサイトに注意が必要です。

怪しいURLでないかチェックする

メール本文にURLやリンクが含まれている場合、リンク先が正しいか、別のサイトにリンクするものでないか注意が必要です。

  • URLが相手先組織のドメインか
  • 表示されているURLと実際のURLが異なっていないか

実際にURLにアクセスし、その内容で判断することはとても難しくなっています。

今までの偽サイトは、日本語の誤りやフォントの異常、画像の歪みなどで怪しいと判断出来ましたが、今では公式サイトの画像やデザインをそのまま流用し、本物と全く同じようなデザインの偽サイトを作成しているケースが多くなっています。

また、不審なURLにむやみにアクセスすると、意図しないソフトウェアのダウンロード、想定外のサイトへの転送等が行われる場合があるため、怪しい場合はアクセスせず確認や問合せをされる事をお勧めします。

NetStableでの検知

NetStableでは、以下のシグネチャで偽サイトへのアクセスを検知することが出来ます。

    • 2000438 Fake LicensePage DNS Access
    • 2000440 Fake LicensePage DNS Access 2
    • 2000532 Fake LicensePage DNS Access 3
    • 2000439 Fake LicensePage HTTP Access
    • 2000441 Fake LicensePage HTTP Access 2
    • 2000533 Fake LicensePage HTTP Access 3

2017年1月頃より流行している「OFFICEのプロダクトキーが不正コピーされています」という件名のメールに記載されているURLへのアクセスを遮断するシグネチャです。

    • 2000537 0sec Redirect HTTP Response

「OFFICEのプロダクトキーが不正コピーされています」メールでは、一旦別URLにアクセスさせ、その後偽サイトに転送される手法が行われました。
このシグネチャでは、この偽サイト同様に転送させる手法のページを検出します。

    • 2000442 Fake SupportPage DNS Access
    • 2000443 Fake SupportPage HTTP Access
    • 2000444 Fake SupportPage Access

Windowsにエラーがあると騙って偽のサポートページにアクセスさせようとするURLを検出するシグネチャです。

また、2017年3月28日のNetStable MC-70S アップデート 1.3.0で追加されたDNSセキュリティ機能を有効にすると、このような偽サイトを含むその他の有害なサイトへのアクセスを遮断することが出来ます。

まとめ

  • 2017年1月頃より、「OFFICEのプロダクトキーが不正コピーされています」というメールが流行している
  • メール内のURLにアクセスする前に、本物かどうか、実際にアクセスするURLと違いが無いか確認する
  • 偽サイトは本物のサイトから画像やデザインを流用している為、見た目で判断するのは難しい