12日午前中を中心に国内で拡散されたマイクロソフトをかたるOfficeのフィッシングメールの分析結果を、トレンドマイクロ株式会社が同社のセキュリティブログで公開した。数時間で1万件以上が拡散され、だまされて誘導先の偽サイトへアクセスした件数は3000以上確認されたという。

 この分析は、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計によるもの。SPNの機能である「Webレピュテーションサービス(WRS)」により、メールが拡散された時点でフィッシングサイトへのブロックがすでに行われていたため、これら3000件以上のアクセスは実際はブロックされていたが、メールから誘導された受信者が少なからず存在したことになる。

 フィッシングメールの内容は、Officeのプロダクトキーが不正コピーされたとして、Officeのウェブサイトを偽装したフィッシングサイトへ誘導するもの。そこで、Microsoftアカウントでサインインすると、アカウントの認証に必要との名目で、個人情報やクレジットカード情報を詐取される。情報の入力を終了すると、「修復が完了しました」と表示されるため、正規の手続きと誤解するユーザーもいるだろう。

 13日正午現在、編集部でフィッシングサイトへのアクセスを試みたところ、すでにウェブサイトは表示されなくなっている。ただし、別の偽サイトへの誘導を試みる同様のフィッシングメールが今後登場する危険もあるため、注意したい。

 また、株式会社カスペルスキーが今回のフィッシングメールについて分析しているブログ記事によれば、偽サイトのドメイン名は最近作成されたもので、サーバーのIPアドレスはロシアに存在するという。ドメイン名の登録者はロシア系の名前だが、登録者の国名は中国と記載され、偽サイトのコンテンツの一部にも中国語が使用されているとのこと。

 偽サイトに英語版のWindows OSからアクセスすると、同一ドメイン名にもかかわらず、全く異なるサイトが表示されたという。これは、ウェブサーバーがHTTPのリクエストヘッダーに含まれるAccept-Languageを確認しているためで、「accept-language: ja-JP」がHTTPリクエストヘッダーに含まれない場合は、ショッピングサイトが表示されたとのことだ。

 これについてカスペルスキーでは、国内のインターネットユーザーをターゲットにしていることに加え、日本語以外の環境からアクセスした場合に、フィッシングサイトには見えないサイトを表示することで、ISPによる偽サイトの閉鎖を遅らせる目的があると推測している。

 マイクロソフトをかたったフィッシングメールについては、フィッシング対策協議会でも注意喚起を行っているほか、日本マイクロソフト株式会社では、フィッシングメールに関する問い合わせ先として、以下の同社カスタマーサービスの電話番号を案内している。

法人向け問い合わせ先電話番号:0120-41-6755(平日9時〜17時30分)

個人向け問い合わせ先電話番号:0120-54-2244(平日9時〜18時、土日10時〜18時)