フィッシング(「なりすまし」)攻撃は、インターネット上級ユーザーですらだまされかねないほど高度なものになりつつあるようだ。フィッシング阻止に取り組む業界団体Anti-Phishing Working Group(APWG)が米国時間4日に明らかにした。
フィッシングは、疑いを持たないユーザーに電子メールを送り、リンクをクリックさせて、利用する銀行のWebサイトを真似たルック&フィールを持つウェブサイトに飛ばし、そこでオンラインバンキング用のパスワードなどの情報を開示させることを狙うというもの。
APGWによると、フィッシング業者がターゲットにする企業は多様化しており、そのHTMLスキルは大幅に向上しているという。
APGWは2003年11月、金融機関やeBayなどの企業が、増加傾向にあるフィッシング事件に対応するにあたり、情報を共有するためのフォーラムとして結成された。APWGの会長で、Tumbleweed Communicationsというセキュリティ専門企業の上級執行役員を務めるDave Jevansは、米国ではISPの顧客がターゲットとされることが多いと述べ、近い将来英国のISPの顧客も、攻撃に遭い始めるだろうと予測している。
「(米国の)大手ISPの中には、(最近)3件のフィッシング攻撃を受けたところがあり、3件とも顧客サポートセンターに数万件もの電話がかかってくるという結果になった。これはかなりのコストだ。英国で(このような事件が)まだ起こっていないのは、われわれにとって驚きだ」とJevansはZDNet UKに語った。
Jevansによると、フィッシング業者は主にクレジットカード情報を狙っているという。そのため、典型的な詐欺メールの場合、ユーザーに対してクレジットカードが期限切れになった、あるいは請求に問題があるなどの口実を使って、ユーザーに情報の更新を求めてくる。この手口は決して新しいものではないが、攻撃の手口が大幅に複雑化しているという。
「以前は、ひどい言葉遣いや、英語のなかにロシア語が混じるといったお粗末なものだったが、最近ではISPの実際の通知を手に入れて、そのリンクを修正するような高度なものになった」(Jevans)
昨年12月にInternet Explorerに見つかったセキュリティの脆弱性は、フィッシング業者の悪用を許すものだったため、Microsoftは先頃修正パッチをリリースしてこの問題に対応した。だが、このパッチがリリースされるより先に、フィッシング業者は新しいテクニックを開発していた。
APWGによると、新しいフィッシング手法には、ユーザーが利用するISPからの電子メールと思ってそのなかのリンクをクリックすると、メインのブラウザメニューではそのISPのウェブサイトに行くが、ただし新しいウインドウがポップアップ表示され、クレジットカード情報の入力を求めてくるというものがある。ポップアップウインドウでURL情報が表示されることはほとんどないことから、ユーザーは疑いを抱きにくいという。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス