『アカウントが更新されました』というタイトルのビッグローブを騙ったフィッシングメールが送信されているようです。ビッグローブでは「BIGLOBEを騙るフィッシングサイト・フィッシングメールにご注意ください」と題したページを作ってビッグローブを騙るフィッシングへの注意を喚起しています。
フィッシングメールの増加を逆手にとった手口?
『アカウントが更新されました』というタイトルで送信されたBIGLOBE 技術サポート〈bene@mqj.biglobe.ne.jp〉を送信元とするメール。「不正ログインと思われる使用を検出しました」として以下の文面が記されています。
第三者にBIGLOBEを偽装して不正ログイン実行された可能性を検出しました。メールを確認するには、BIGLOBEにログインしてください。※ログインメールアドレスまたはユーザーIDとBIGLOBEパスワードを入力する必要があります
そして「メールアカウントにログインしてください」とリンクを張った記載があり、フィッシングサイトへと誘導してアカウント情報を窃取しようとしているものとみられます。末尾に記載されているBIGLOBEカスターサポートの電話番号等は正しいもので、一見すると正規のメールと見間違えてしまいます。特に第三者による不正ログインを検出したと、昨今のフィッシングメールの増加を逆手にとったような手法は、ソーシャルエンジニアリングを駆使している印象を受けます。
ビッグローブでは「BIGLOBEを騙るフィッシングサイト・フィッシングメールにご注意ください」とのページを作って注意を喚起しています。同ページによるとビッグローブを騙るフィッシングへの注意喚起は2014年ころから継続的に行われています。
韓国フィッシングメールにビッグローブドメイン
一方、韓国メディアによると、韓国では通信社のKTを騙ったフィッシングメールが出回っているということなのですが、このフィッシングメールの送信者はKT利用料金明細書となっており、送信者名とともに記載されているメールアドレスにビッグローブのドメインが使われていることが報じられています。このフィッシングメールは、KTのユーザーに6月の利用明細を確認するように求める内容となっており、メールのチェックボックスをクリックすると韓国のポータルサイト、ネイバーのログイン画面を偽装したウィンドウが開き、ネイバーのID、パスワードを記入するように求めてアカウント情報を盗み取るものです。ネイバーではKTの利用明細を確認できるサービスを行っていることから、韓国ユーザーを狙ったフィッシングメールと思われます。
そのフィッシングメールになぜビッグローブのドメインが記載されていたのか謎ですが、韓国メディアはキムスキー(kimsuky)による典型的な攻撃だとセキュリティ専門家の話しを伝えていて気になります。キムスキーは北朝鮮に紐づいたハッカーグループと見られており、サイバースパイ活動を韓国やアメリカ、そして日本で行っていると言われています。ソーシャルエンジニアリングを使ってマルウェアに感染させる手法にたけており、最近、韓国政府はキムスキーを制裁対象に指定しました。
KTを騙ったビッグローブのドメインが記されたフィッシングメールがキムスキーによるものなのかどうか、韓国で報じられている以上の情報はなく確かなことはわかりませんが、キムスキーの活動に日本が含まれている以上、そのフィッシング攻撃が韓国にとどまらず日本に対しても行われている可能性は排除できません。日本国内ではビッグローブにとどまらずさまざまな企業を騙ったフィッシングメールが出回っており、特に最近はその数が急増しているようです。関係機関はフィッシングメールへの注意喚起や防御策の啓発を行っており、それ自体重要なことですが、さらに踏み込んでフィッシングメールがどこから送られているのか、何を目的としているのかについて具体的に調べて明らかにしていただきたいと思います。
■出典
https://support.biglobe.ne.jp/news/phishing.html
https://biz.chosun.com/topics/topics_social/2023/06/29/5J442AM7BFDUDCYMXCDEZ2VYFE/