本物の個人情報をエサにした新種のフィッシング攻撃が拡大中

　盗んだ消費者データを使って特定の銀行の個人口座保有者を騙そうとする新たなフィッシングの手口について、セキュリティ研究者らが報告を発表した。

　このかつてないほど巧妙なフィッシング攻撃の詳細情報を提供しているのは、金融機関向けオンラインセキュリティ企業Cyotaの社員たちだ。この新種のフィッシング攻撃では、個々の消費者をターゲットにした従来の詐欺犯罪で使用されていた、大勢の人々を標的にする手法は使わない。Cyotaは、この攻撃に巻き込まれている銀行の名は明かしていないものの、リストの中に米国の大手金融サービス企業がいくつか含まれていると述べている。

　Cyotaによると、この新手のフィッシング詐欺では、銀行の顧客の受信トレイに顧客の氏名、メールアドレス、口座番号といった、口座に関する正確な情報が書かれたメールが届く。これらのメッセージは、各銀行がATMの個人識別番号（暗証番号）やクレジットカードのCVDコードといった個人情報を確認するために送ってきたかのように書かれている。CVDコードとは、予備の識別番号として大半のカードの裏面に印刷してある数字列だ。

　フィッシングはオンライン詐欺の一種で、ここ数年で急速に被害が拡大している。犯人らは、まず大量のメールをばら撒き、人々を騙して個人情報を聞き出した上で、それらの情報を売却したりID窃盗に利用する。しかし、この新種のフィッシング詐欺は従来型に比べ、成功率が高くなる可能性があるが、これはメールの文面に正確な情報が含まれているため、何ら疑いを抱いていない受信者が読むと、あたかも銀行からの本物のメールに見えるからだ。

　この新種のフィッシング詐欺の実行者らは、盗まれた個人情報を別の人物から購入し、さらに高額で販売可能なより重要性の高い情報を入手しようとしていると、Cyota共同創業者のAmir Oradは考えている。

　Oradは、「これらの攻撃では、手薄な技術的防御態勢や相も変らぬ消費者の脆弱性を利用しており、本格的な研究開発リソースを備える、組織化されたグループの仕業であることは明らかだ」と述べ、さらに次のように続けている。「（この種の攻撃の）これまでの成功率は驚異的な高さだ。人々は、個人情報を盗もうとする露骨な攻撃を予想しており、攻撃の一部として正確な情報がこれほど多く含まれているとは考えていない」

　Oradによると、Cyotaはすでに個人を標的にしたこれらのフィッシング詐欺に関連するいくつかのサイトを閉鎖に追い込んだという。しかし同氏は、その後この種のサイトがさらに多く出現したことを示唆した。同社は消費者に対し、オンライン上で金融情報を提供する前に、まずそのような重要データの開示要求が正当な目的でなされているか否かを確認するよう警告している。

　Anti-Phishing Working Group（APWG）が3月に発表したレポートによると、最近のフィッシングの傾向として、攻撃者が悪意あるプログラムの一種であるいわゆるキーストロークロガーを使って消費者の個人情報を集めるケースが増えているという。この種のフィッシング攻撃の手口は、偽のウェブサイトに人々を誘導し、そこで個人情報を聞き出す従来の方法とは異なり、銀行の顧客がコンピュータを使って口座にアクセスする際にオンライン預金口座のログイン名やパスワードを入手し、キーストロークロガーがその情報を攻撃者に送信するというものだ。