電子グリーティングカード、個人情報盗難に利用される--米豪で被害拡大

　セキュリティ専門家は、一部のユーザー間で人気の電子グリーティングカードが、サイバー犯罪者によってプライバシーに関わる個人情報を収集する詐欺に利用されていると警告を発している。

　セキュリティソフトウェアメーカーExploit Prevention Labsの最高技術責任者（CTO）であるRoger Thompson氏が、米国時間9月20日のインタビューで述べたところによると、多くの人のクレジットカード番号、オンラインバンキングの機密情報、ログイン名やパスワードを含むデータが、この手口によって既に収集されているという。オーストラリアや米国に在住の個人が主な標的になっている。

　Thompson氏によると、YahooやBlue Mountainなどのサービスからのグリーティングカードを装った電子メールのメッセージを使って詐欺が行われているという。ユーザーがカードを見ようとしてリンクをクリックすると、まず、悪意のあるウェブサイトへと誘導され、ユーザーのキー入力を記録するソフトウェアがこっそりインストールされるという。その後、カードが表示される。

　同氏は「一瞬のことなので誰も気がつかない」と言う。「電子メールのソースを見れば、リダイレクトだと気がつくのだが、普通はわざわざ見ない」（Thompson氏）

　Thompson氏によると、攻撃者は、スパイウェアとルートキットをインストールし、自らの悪意のあるソフトウェアを隠すためにWindows OSの脆弱性を悪用しているという。2006年5月にリリースされたセキュリティアップデート「MS06-014」を適用している場合は、悪意のあるソフトウェアをひそかにインストールするこの方法の影響は受けないという。

　この詐欺は、2006年4月に始まったようで、悪意のある電子メールが毎週のように大量に出回るようになった。Thompson氏によると、攻撃者はサーバから200Mバイトもの情報ファイルが毎週収集していたようだという。同氏はこのサーバを特定できており、オーストラリアと米国当局に報告済みであるという。

　Exploit Prevention Labsの発表によると、現在のところ、オーストラリアの銀行のほとんどすべてで、顧客が被害に遭っていたということが確認できているという。また同社は、サイバー犯罪者は北米、ヨーロッパ、アジアでさまざまな電子グリーティングカードを利用している個人も狙っていたと発表した。