正規のフォーム作成サービスを悪用するフィッシング手口、Microsoft FormsやSurvey Gizmoを利用

トレンドマイクロ株式会社は同社ラボのブログで11月9日、正規のフォーム作成サービスを悪用するフィッシング手口の解説を公開した。

これまでのフィッシングサイト構築は、サイバー犯罪者が用意した偽装ドメインを持つWebサイトを使用するか、正規のWebサイト作成サービスを悪用し作成するケースだったが、最近では、より簡易な作成方法として正規の「フォーム作成サービス」を悪用する手口が顕著になっている。

フィッシング詐欺では、フィッシングサイトへの誘導手段としてフィッシングメールが利用され、例えば Microsoft Outlookからの勧告を偽装したフィッシングメールでは、パスワードの利用期限更新のために本文中のURLリンクをクリックするようユーザを促しているが、このフィッシングメールで利用が確認されているフォーム作成サービスとして、Microsoft Formsがあり、Microsoft FormsがOutlookと同じくMicrosoft Officeのサービスであるため、誘導先URLのドメインが「forms.office.com」と正規サイトのものとなりユーザが信用しやすいためと考えられる。

また、法人代表者を装うメールの中で、埋め込みリンクを録音メッセージファイルまたは文書ファイルとして偽装するものもあり、同社ではその手口にSurvey Gizmoがよく利用されていることを確認した。フォーム作成サービスで作成された偽のログインページは、ブロック状のテンプレートを利用しており本物のログインページそっくりではないが、URLのドメインはフォーム作成サービスの不正なものではないため、誘導されたユーザが誤って信用する可能性がある。

フィッシングサイトについて、上述したフォーム作成サービスとこれまで使用されてきた偽造ドメイン、Webサイト作成サービスの特徴をまとめると以下の通り。

・偽造ドメイン
偽造ドメインは、元サイトと混同しやすい新しいドメインを取得し人気サイトの外観をコピーした偽サイトを作成したもので、Webサイトの作成にはプログラミングとWebホスティングの知識が必要となり、ドメイン取得のため事前の準備が必要で費用が掛かる場合もある。見分けるには、URLを精査し正規のWebサイトかどうかをチェックする必要がある。

・Webサイト作成サービス
Webサイト作成サービスは、正規のWebサイト作成サービスを利用して人気サイトの外観をコピーした偽サイトを作成したもので、多くの場合はドメイン名はサービスのものとなるがサブドメインを元サイトと混同しやすいものにする手口が多く、フィッシングサイト作成のためにはHTMLプログラミングの知識と設計スキルが必要となり、元サイトにそっくりなWebページを作成するには相応の時間が必要となるが、Webサイトのセットアップには時間がかからない。見分けるには、元のドメインではなくWebサイト作成サービスのドメインが使用されていないかアドレスバーをチェックする。

・フォーム作成サービス
フォーム作成サービスは、ドメイン名はサービスのもので外観を似せるには制限が多いが最も容易に偽サイトが作成でき、フォーム作成サービスで提供されるURLをそのまま使用するため、偽装は困難だが、URL自体は正規のもので方法によっては利用者の誤解を誘うことも可能となる。必要なのはフォームを作成するための基本的な知識のみで、わずかな時間で1人でも作成可能。見分けるには、パスワードの更新やメールアドレスの確認のためにフォームを利用する企業はないことを覚えておく必要がある。