先日、スマホでGoogle検索をしていたところ、突然、スマホ画面の上半分にドコモのマークとともにキャンペーンのお知らせと記されたページが表示されました。ページの作りやデザインに違和感はありませんでした。
「プレゼント」を餌にクレジット情報入力ページへ誘導
ドコモの何かのキャンペーンだろうと思い、そのページを早く消したかったこともあり、あまり深く考えることなくクリックすると、ページの下半分が開いてアンケートへの回答を求められました。アンケートの設問は5つで、使用している端末の種類やOSの種類、買い替えの予定などいずれも簡単な内容です。ページの作りや設問の文章、回答を記入した際の動作などに違和感はなく、ドコモの販促キャンペーンだと思ってアンケートに回答しました。スクショ画像1は、最初に表示されたページです。ちなみに画像右上にあるボタンはスマホのサイドセンス機能のボタンが写り込んでいるものです。最初にこのページが開いた時、ドコモからの通知だと思い込んだため、記載されている内容をよく確認することなくアンケートへ進んでしまいました。
最初に不審に思ったのは、アンケートに回答した後に開いたページ(スクショ画像2)です。Samsung Galaxy S10やiPhone XSなどの画像とともに「ギフトを獲得しましょう」とあり、それぞれの画像に価格100円の表示と在庫数が記されてクリックするボタンがついています。どういうことか? と少し混乱し、この時、初めて書いてある内容によく目を通しました。どうやらこのページが開いたユーザーは選ばれた者で、アンケートに回答したことで100円という低額で賞品をゲットできるということのようでした。その賞品というのがSamsung Galaxy S10やiPhone XSと少し前のスマートフォンに加え、FC2の3年間無料会員という常識的に考えられない内容なのですが、ご丁寧に「嘘だと思っていたけど本当に一昨日iPhone Xが家に届いた」とか「半信半疑でしたが、昨日iPhone Xが届きました」などそれっぽいコメントが添えられています。試しにiPhone XSにチェックを入れてボタンをクリックするとクレジットカードのデータを記入するページが開きました。このページをよく見たところ、安全なお支払いと表示された下にtrustedconn.comとあり、このドメインからドコモキャンペーンを偽装したフィッシングだと確信しました。
auキャンペーン偽装の使いまわし? luckypapa.xyzの表示
本当はもっと早く、このページがキャンペーン偽装であることを見抜くべきでした。スクショしたページを後からよく見てみたところ、最初に表示されたページの上部に「auキャンペーンのお知らせ」という文言が入っていて、luckypapa.xyzのドメインが記されていました(スクショ画像3)。luckypapa.xyzで検索してみると、手法やページがまったく同じ内容のauキャンペーン偽装を警鐘する記事が出てきます。違うのはロゴと使われている色が赤とオレンジということくらいです。
ネット情報で確認する限り類似のフィッシングは2018年ころから行われているようです。今回、遭遇したドコモキャンペーン偽装フィッシングが、auキャンペーン偽装フィッシングから継続的に行われているものなのか、手法を真似た新たなフィッシングなのか不明ですが、ページの作りが精緻な点が特徴です。
ドコモをめぐっては2019年にドコモ口座からの不正送金が明るみになった際、「フィッシングSMSを注意喚起していたNTTドコモ」という記事を書いて背景にドコモを装ったフィッシングがある可能性を指摘したのですが、この時、ほとんどのメディアがブルートフォースアタックをとりあげフィッシングの実態に触れていないことを意外に思いました。今回の件を見てもドコモユーザーを狙ったフィッシングは依然として活発に行われているのは明らかですし、巧妙なソーシャルエンジニアリングには十分注意しなければならないということだと改めて思いました。
■参考