「なりすまし」が高度化--ポップアップを利用した新手の詐欺に注意

　フィッシング（「なりすまし」）攻撃は、インターネット上級ユーザーですらだまされかねないほど高度なものになりつつあるようだ。フィッシング阻止に取り組む業界団体Anti-Phishing Working Group（APWG）が米国時間4日に明らかにした。

　フィッシングは、疑いを持たないユーザーに電子メールを送り、リンクをクリックさせて、利用する銀行のWebサイトを真似たルック＆フィールを持つウェブサイトに飛ばし、そこでオンラインバンキング用のパスワードなどの情報を開示させることを狙うというもの。

　APGWによると、フィッシング業者がターゲットにする企業は多様化しており、そのHTMLスキルは大幅に向上しているという。

　APGWは2003年11月、金融機関やeBayなどの企業が、増加傾向にあるフィッシング事件に対応するにあたり、情報を共有するためのフォーラムとして結成された。APWGの会長で、Tumbleweed Communicationsというセキュリティ専門企業の上級執行役員を務めるDave Jevansは、米国ではISPの顧客がターゲットとされることが多いと述べ、近い将来英国のISPの顧客も、攻撃に遭い始めるだろうと予測している。

　「（米国の）大手ISPの中には、（最近）3件のフィッシング攻撃を受けたところがあり、3件とも顧客サポートセンターに数万件もの電話がかかってくるという結果になった。これはかなりのコストだ。英国で（このような事件が）まだ起こっていないのは、われわれにとって驚きだ」とJevansはZDNet UKに語った。

　Jevansによると、フィッシング業者は主にクレジットカード情報を狙っているという。そのため、典型的な詐欺メールの場合、ユーザーに対してクレジットカードが期限切れになった、あるいは請求に問題があるなどの口実を使って、ユーザーに情報の更新を求めてくる。この手口は決して新しいものではないが、攻撃の手口が大幅に複雑化しているという。

　「以前は、ひどい言葉遣いや、英語のなかにロシア語が混じるといったお粗末なものだったが、最近ではISPの実際の通知を手に入れて、そのリンクを修正するような高度なものになった」（Jevans）

　昨年12月にInternet Explorerに見つかったセキュリティの脆弱性は、フィッシング業者の悪用を許すものだったため、Microsoftは先頃修正パッチをリリースしてこの問題に対応した。だが、このパッチがリリースされるより先に、フィッシング業者は新しいテクニックを開発していた。

　APWGによると、新しいフィッシング手法には、ユーザーが利用するISPからの電子メールと思ってそのなかのリンクをクリックすると、メインのブラウザメニューではそのISPのウェブサイトに行くが、ただし新しいウインドウがポップアップ表示され、クレジットカード情報の入力を求めてくるというものがある。ポップアップウインドウでURL情報が表示されることはほとんどないことから、ユーザーは疑いを抱きにくいという。