米国では、年末年始に向けてサイバー マンデーに買い物をする消費者が毎年増加しています。
Adobe Insights によると、昨年のサイバー マンデーに米国人がオンライン ショッピングで費やした額は過去最大の 65.9 億ドルに達しました。感謝祭の翌日にあたるブラック フライデーも、オンラインでの購入額は相当額に上ります。Adobe 社の推定によると、昨年のブラック フライデー(2017 年 11 月 25 日)に米国の消費者がオンライン ショッピングで費やした金額は 24.3 億ドルでした。
オンライン ショッピングが爆発的に増えるブラック フライデーやサイバー マンデーは、攻撃者にとってもチャンスとなります。「セール情報」を装った悪意のある広告(マルバタイジング)や電子メールで無知な消費者を誘導し、クレジットカードや個人情報を詐取する絶好の機会なのです。昨年は、「ブラック フライデー」や「サイバー マンデー」の文言が含まれていた電子メールの実に 71 % が、Cisco Talos によってスパムに分類されました。これらスパム メールのうち 96 % は、.top、.stream、.trade、.bid といった一般的ではないトップ レベル ドメイン(TLD)からのものでした。
最も多く使われたドメインのひとつは、「Hailstorm」の攻撃手段を採り入れた hxxp://bags-black-friday[.]top でした。「Hailstorm」では攻撃者が多数の使い捨てドメインを登録し、数分間で数百通のスパム メールを送信します。そうした使い捨てドメインは検出ソフトウェアのデータベースに未登録のため、スパム メールが検出されずユーザの手元に届くことになります。上記の bags-black-friday に関する Cisco Umbrella のデータは以下のとおりです。
昨年の状況を踏まえると、今年も年末年始のショッピング シーズンで同様のスパム メールが急増すると考えられます。
ブラック フライデーやサイバー マンデーに消費者を狙う、悪意のあるサイトも複数発見されています。「Black Friday」や「Cyber Monday」を URL 内に直接含む複数のサイトが、すでに Talos によってブラック リストに登録されています。そうした URL が存在することは、セール情報を探す消費者が標的になっていることを裏付けています。ブラック リストに登録されたドメイン全体の一覧は、以下の「IOC」セクションに記載されています。
URL の一部は、JC Penney や Pandora ジュエリーといった、セールを頻繁に行う人気店の名前を含んでいます。「Black Friday」や「Cyber Monday」を含んだ悪意のある URL は他にも存在しますが、11 月 14 日の時点で長期間使用が確認されていません。感謝祭が近づくにつれて、オンラインの買い物客を狙った URL も激増することが予想されます。ショッピング シーズンが到来すると、悪質なサイトも決まって増加します。攻撃者の狙いは、Web 検索にサイトを表示させ、(上記の電子メール キャンペーンのように)検出を回避させることにあります。
また、ショッピング シーズンの消費者を狙ったマルウェア攻撃も存在します。たとえば Microsoft 社が 2016 年に発見したマルウェア キャンペーンでは、Amazon 社からのセールス情報を装って ランサムウェア「Locky」の配布を企んでいました。Locky は、電子メール キャンペーンを中心に長年にわたり配布されてきたランサムウェアです。Locky に感染するとユーザ ファイルが暗号化されます。ファイルを復号化するには支払いが求められます。ただし Locky の脅威は、過去 1 年間にウイルス対策エンジンによって大きく低減されました(Locky に感染した場合、オープンソースの復号化ツール「LockyDump」をこちらからご利用ください)。
こうした傾向を踏まえ、ブラック フライデーやサイバー マンデーにオンライン ショッピングを利用する際は以下の点にご注意ください。
- アプリをインストールする際は、必ず Google Play ストアや App Store などの信頼できる公式ストアからのみ入手してください。
- テキスト メッセージ(SMS)、電話帳、保存されたパスワード、管理機能などへのアクセスを要求する疑わしいアプリには注意してください。
- 悪意のあるアプリが正当なものとして偽装している場合もあります。偽装しているアプリを見分ける手掛かりは、アプリの説明やインターフェイス内の誤字脱字、動作の遅さ、デベロッパーの連絡先(Gmail などのフリー メールを使用)などです。
- 迷惑メールをクリックしないでください。小売業者から受け取ったマーケティング メールは、自分が意図的に購読したものであることを確認してください。
- 信頼できない送信者からのファイルをクリックしないでください。これらのファイルには、望ましくないプログラムが含まれていることが多くあります。
- ブラウザでは、広告ブロッカーをインストールして使用してください。オンライン ショッピングの利用者を狙った悪意のある広告は、広告ブロッカーでブロックできる場合が多くあります。
- 支払時には、可能な限り Google Pay、Samsung Pay、Apple Pay などの支払サービスを利用してください。これらのサービスではクレジット カード番号の代わりにトークンを使用するため、より安全に取引をできます。
- サイトごとに異なる、複雑なパスワードを使用してください。他人のアカウントへ侵入を試みる攻撃者は通常、同じユーザ名とパスワードの組み合わせを複数のサイトで利用します。
- あまりにも「うまい話」には、裏があると考えるべきです。
シスコのお客様は、これらの脅威を検出してブロックできます。
IOC
americanas-seguranca-blackfriday[.]oni[.]cc
blackfriday-deal-uk[.]com
blackfriday-shoping[.]com
blackfriday-uk-deal[.]com
blackfridaydiscountmuch[.]com
blackfridayonlineshoping[.]com
blackfridaysofasale[.]com
centralatendimento-2016-blackfriday[.]com[.]br[.]fewori20.mobi
discount-blackfriday[.]shop
discountblackfriday[.]shop
downloadfileshere[.]com/get/odelldaigneault.nm.ru_black-friday_Downloader_8911010.exe
jcpenney[.]black[.]friday[.]sales[.]cybersmondaydeals.com
mariiusblog[.]blogspot[.]com/search/label/reduceri%20black%20friday%202014
pandora-blackfriday-deal[.]com
ricardoeletro-blackfriday[.]com[.]br[.]dosd23-0[.]mobi
sale-blackfriday[.]shop
saleblackfriday[.]shop
shopblackfriday[.]shop
ssl-dados-blackfriday-ricardoeletro[.]com[.]br[.]dsdkowie0930[.]net/produtos/32882479/PlayStation-3-250GB-HD-Controle-Dual-Shock-3-Preto-Sem-Fio-Produto-Oficial-Sony-Compacto-03-Super-Jogos
Uk-blackfriday[.]com
jcpenney[.]black[.]friday[.]sales[.]cybersmondaydeals[.]com
本稿は 2018年11月19日に Talos Group のブログに投稿された「What scams shoppers should look out for on Black Friday and Cyber Monday」の抄訳です。