国立感染症研究所が4月18日に迷惑メールを送信してしまったとして発表を行いました。ここでは国立感染症研究所メールシステムへの不正アクセスと、Active!Mailを狙ったフィッシングについてまとめます。
国立感染症研究所 迷惑メール送信 インシデント概要
4月18日に国立感染症研究所が4月16日午後に不正アクセスを受け、迷惑メールを送信してしまったことを発表。
- 2014/4/18 国立感染症研究所のメールアカウントの不正利用と迷惑メール送出について
(1) 被害状況
(2) 発端
- 不明
(4) 対応・対策
- 対応
- パスワードを変更*2
- フィッシングサイトへの接続を遮断
- 迷惑メールの送信を検閲サーバーで遮断
- 迷惑メールを送信してしまった職員アカウントをシステムから完全に抹消
- 全職員へ注意喚起メールを2回送信
Active!Mailを狙ったフィッシング
Active!Mailとは
TransWARE社が開発するWebメールシステムで、多くの法人ユーザーがおり、大学では全学導入に選ばれているそうです。
Active! mailは累計1,750法人、1,000万アカウントの導入実績と、調査開始以来6年連続2部門で国内シェアNo.1(*)を誇るビジネスWebメールのスタンダードです。
http://www.transware.co.jp/product/am/
ブラウザー環境さえあれば場所を選ばずにメールの送受信が可能で、社外からのメール閲覧、モバイルでの利用、セキュリティ対策、運用負荷軽減、コストメリットなど、Webメール特有の便利さを優れたインターフェースで利用可能です。
企業の標準メールシステムとして、また大学の全学導入などにも選ばれています。
Active!mailログイン画面のURL「amlogin」で検索すると大学を中心に民間企業も多くのWebメールシステムのログイン画面が複数検索にかかります。全部がそうではないですが、700件以上が検索結果として出ていますね。スパム業者はこういった情報を頼りに攻撃対象を選定しているのかもしれません。
Active!Mailのフィッシングメールの注意喚起
昨年秋ごろからActive!Mailのフィッシングは多数確認されているようです。昨年10月にはTransware社から、12月にはフィッシング対策協議会から注意喚起が行われています。国立感染症研究所の事例や注意喚起が発信されている日付から分かるように、継続してこのActive!mailを狙ったフィッシングは行われているようです。
Active!Mailを狙ったフィッシング事例
全体的に不自然な日本語が多いですが、フィッシングが流行っていることを知らなければついクリックしてしまいそうです。また徐々に手口は巧妙化しており、標準テンプレートの画面を使いまわすだけでなく、広島大学の事例のように、カスタマイズされた画面に似せたフィッシングサイトを立ち上げ、利用者にIDとパスワードを入力させようとしています。
個別に作成されたフィッシングサイトの例
広島大学のActive!mailユーザーを狙ったフィッシングサイト(広島大学 情報メディア研究センター 注意喚起より)
(1) メールボックスの容量制限が超過していると告知する文面
注意:アクティブメールユーザー
あなたのメールボックスのクォータは、Active便によって設定された格納域の制 限を超えているあなたの電子メールアカウントを検証する再には、ここをクリッ クしてください:
フィッシングサイト
正しくあなたのログイン情報を提供するために、障害になることに注意してくだ さい私達のデータベースからメールアカウントの即時閉鎖
UCOM Web Mail
http://www.ipc.miyakyo-u.ac.jp/info/2013/09/activemailurl.html
〓1998-2010 TransWARE Co. All Rights Reserved.
あなたのメールボックスは、ストレージの上限を超えています2.GBを管理者によって確立された
現在2.30ギガバイトです、できませんあなたの電子メールを再検証するまで、新しいメッセージ
を送信または受信あなたの電子メールを検証するには、以下のリンクをクリックして、
http://webxxx-jp-zxxxxxxxxsk-upgra.wxxs.com/ありがとうシステム管理者
http://www.media.hiroshima-u.ac.jp/news/2013111802
親愛なるアカウントの所有者
http://www.fukuoka-pu.ac.jp/center/ipc/files/2014-0304-1133.pdf
問題は、あなたの Web メールアカウントを使用して生じている。
別の IP で自分のアカウントから生成しようとしましたログインの数がドメインに違反 E
メール〓サービス契約および/または利用規定。
これはあなたの部分に不用意な活動が原因である可能性があり、あるいは、あなた
のアカウントがあったかもしれない妥協してスパムを生成するために使用されています。
そのため、あなたはの終了を回避するために、あなたの Web メールアカウントを確認
する必要がありますあなたの Web メールアカウントは、他にドメインメールアカウント
は、24 時間前にブロックされます。
あなたのWeb メールアカウントの停止を解除するには、こちらをクリックしてメールアカ
ウントを確認するには
あなたのアカウントのセキュリティが私たちの 大の関心事のままであり、我々は謝
罪ことを知ってください
(2) マルウェア感染を通知する文面
このメッセージは、同志社大学ウェブマスター管理者からのもので、我々のデータ
ベース•セキュリティ•システムは、あなたの電子メールアカウント にいくつかの
ウイルスを検出しました。あなたのアカウントを保護するために、我々は、メール
ボックスのスペースに新しい2013アンチスパムとア ンチウイルスソフトと増加
ストレージをインストールする必要があります。また、我々は積極的なあなたの
アカウントを確認するために、新しいアカウントのユーザーのためのスペースを
作成可能にするためにこれ以上アクティブでないすべての古い、未使用のメール
アカウントを削除しなければならない、あなたのアカウントがアクティブ確認するには、更新して再確認して、メール
アカウントの詳細をこのリンク(http://doshisha-ac-jp.*******.****)を
クリックすることで、正しくあなたの詳細を記入してメッセージを送信する
押しする必要がされています。著作権(C)同志社大学すべての権利予約。
http://it.doshisha.ac.jp/news/2013/1002/news-detail-42.html
ご不便のサービスの停止が発生する場合がありました。
ありがとう
お問い合わせ|セキュリティセンター
(3) メールアカウントの更新を依頼する文面(英語)
Dear University of Electro-Communications webmail users,
This message is from University of Electro-Communications admin. Be inform
that all University of Electro-Communications webmail users must update
their University of Electro-Communications webmail account to the new 2014
e-mail version for fast and maximum security of your account. Note that
you are expected to click on the link given below and login with your
University of Electro-Communications User ID and Password (PassPhrase) to
upgrade your account.(ここに偽装されたリンクが書かれています.)
Thanks for your understanding.
The University of Electro-Communications
https://www.cc.uec.ac.jp/blogs/news/2014/03/post-21.html
Copyright(C) University of Electro-Communications All Rights Reserved
更新履歴
2014/04/20 PM 新規作成
