QRコードからアクセスの短縮URLサービスで不正広告表示、クレカ情報詐取の被害相次ぐ

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 11/15号 目次 –

01. QRコードからアクセスの短縮URLサービスで不正広告表示、クレカ情報詐取の被害相次ぐ


02. 10月度フィッシング報告件数は156,804件、過去最多更新


03. メルマガに誤ってCSVファイル添付、個人情報3,732人分流出

QRコードからアクセスの短縮URLサービスで不正広告表示、クレカ情報詐取の被害相次ぐ

– 11月9日(日本時間)、大手スーパーマーケットのいなげやより、神奈川県川崎市の2店舗(川崎土橋店・川崎下小田中店)で配布したチラシのQRコードから悪意のあるサイトに誘導される事案があったとして注意喚起が出されています。

– チラシは10月27日から配布していたとみられるネットスーパー入会案内のもので、QRコードは本来入会サイトへアクセスするものでしたが、注意喚起では「予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生」したとしています。

– 10月30日にも学習院大学より、2024年度の大学案内(5月から配布)に掲載したQRコードの一部で同様の事象が発生していたことが発表されています。

[ 出典 ]
https://www.inageya.co.jp/files/pdf/231109.pdf
https://www.univ.gakushuin.ac.jp/news/29309.html
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500240/

AUS便りからの所感 AUS便りからの所感

いなげやの注意喚起で示されている画像から、短縮URLサービスで本来のページのURLを圧縮したものがQRコードで使われていたと考えられますが、当該サービスでは本来のページへリダイレクトする前に広告が表示される場合があり、そこで表示された不正な広告の方へ訪問者がアクセスしたものとみられます。

サーチエンジンでの検索結果においても、著名なWebサイトやソフトウェアを検索した際に偽のページが広告として紛らわしい位置に表示され、誤って個人情報等を入力したり、マルウェアが入った偽のインストーラーを掴まされたりといった被害が頻繁に発生しています。

短縮URLはアンチフィッシング機能等を回避するために悪用されるケースも多く、可能な限り知名度が高い・国内でのユーザーが多い等信頼されているサービスを使うこと、また本物のサイトであることを示すためには使用を控えるという判断も検討に値するでしょう。

ともあれユーザーにおいてはこのような手口の存在が周知徹底されるとともに、Google等広告プラットフォームにおいても不正な広告の表示が食い止められるような動きが出てくることを是非とも期待したいものです。

10月度フィッシング報告件数は156,804件、過去最多更新

– 11月9日(日本時間)、フィッシング対策協議会より、10月に寄せられたフィッシング報告状況が発表されました。

– 10月度の報告件数は156,804件で、9月度(https://www.antiphishing.jp/report/monthly/202309.html )の117,033件から39,771件増加し、6月度の149,714件をも上回って過去最多を更新しました。

– フィッシングサイトのURL件数は13,507件で9月度(14,934件)から1,427件減少、悪用されたブランド件数も78件で9月度(80件)から2件減少となっています。

– AmazonとETC利用照会サービスを騙るフィッシングの報告がそれぞれ5万件を超え、報告数全体に対する割合は合わせて約69.0%を占め、次いでそれぞれ1万件超だったマイナポイント事務局、三井住友カードと合わせて約88.0%、さらに1,000件以上報告された10ブランドまで含めると約95.1%だったとのことです。

[ 出典 ]
https://www.antiphishing.jp/report/monthly/202310.html

AUS便りからの所感 AUS便りからの所感

トピックとして、URL中の文字に飾り文字を含めることでアンチフィッシング機能を回避する手口が使われていること、マイナポイント事務局を騙るフィッシングについて、実際の申請期限だった9月のみならず、10月にも「10月末期限」と偽ったものが確認されていること(これは11月に入っても依然「11月末期限」とするものが確認されています)等が挙げられています。

また、10月3日にはGMailより「メール送信者のガイドライン」が公開されており(https://support.google.com/mail/answer/81126 )、2024年2月1日以降、GMail宛にメールを送信する相手に対しSPF・DKIM・DMARCの設定等のメールセキュリティ要件が要求されることも挙げられており、取引相手をフィッシングから保護する意味でも、いよいよ各組織のドメイン名・メールサーバーにおいての対応が迫られているということです。

メルマガに誤ってCSVファイル添付、個人情報3,732人分流出

– 11月8日(日本時間)、リソー教育グループのプラスワン教育社より、メールマガジン配信時のミスで、同社顧客の個人情報を外部に誤送信したと発表されました。

– 被害を受けたとされるのは、メールマガジン配信対象2,000件・3,732人分のメールアドレス・氏名・性別・生年月日・学年・電話番号・住所等とされています。

– 10月31日に送信した分のメールに、誤って配信先リストのCSVファイルを添付していたことが原因としています。

[ 出典 ]
https://www.bengo4.com/c_18/n_16726/
https://riso-plus1.co.jp/

AUS便りからの所感 AUS便りからの所感

最近に至るまで度々発生している「メーラーのBcc: に入力すべきメールアドレスをTo: やCc: に入力してしまった」ケースとは多少異なり、配信ツールによるメールマガジン送信予約で発生したミス、かつ一週間に分けて配信するところ、メール送信複数担当者によるテストメールのチェックについては初回分しか行っていなかったことにより、食い止められなかったという事態となっています。

詳細の報告は11月中に改めて行われる予定としていますが、現時点でも判明している原因をもとに、ルールの徹底の他にもシステム上で流出をより厳密に防ぐ余地がないか議論されることが望まれます。