logo

「なりすまし」が高度化--ポップアップを利用した新手の詐欺に注意

Munir Kotadia(ZDNet UK)2004年02月09日 18時05分
  • このエントリーをはてなブックマークに追加

 フィッシング(「なりすまし」)攻撃は、インターネット上級ユーザーですらだまされかねないほど高度なものになりつつあるようだ。フィッシング阻止に取り組む業界団体Anti-Phishing Working Group(APWG)が米国時間4日に明らかにした。

 フィッシングは、疑いを持たないユーザーに電子メールを送り、リンクをクリックさせて、利用する銀行のWebサイトを真似たルック&フィールを持つウェブサイトに飛ばし、そこでオンラインバンキング用のパスワードなどの情報を開示させることを狙うというもの。

 APGWによると、フィッシング業者がターゲットにする企業は多様化しており、そのHTMLスキルは大幅に向上しているという。

 APGWは2003年11月、金融機関やeBayなどの企業が、増加傾向にあるフィッシング事件に対応するにあたり、情報を共有するためのフォーラムとして結成された。APWGの会長で、Tumbleweed Communicationsというセキュリティ専門企業の上級執行役員を務めるDave Jevansは、米国ではISPの顧客がターゲットとされることが多いと述べ、近い将来英国のISPの顧客も、攻撃に遭い始めるだろうと予測している。

 「(米国の)大手ISPの中には、(最近)3件のフィッシング攻撃を受けたところがあり、3件とも顧客サポートセンターに数万件もの電話がかかってくるという結果になった。これはかなりのコストだ。英国で(このような事件が)まだ起こっていないのは、われわれにとって驚きだ」とJevansはZDNet UKに語った。

 Jevansによると、フィッシング業者は主にクレジットカード情報を狙っているという。そのため、典型的な詐欺メールの場合、ユーザーに対してクレジットカードが期限切れになった、あるいは請求に問題があるなどの口実を使って、ユーザーに情報の更新を求めてくる。この手口は決して新しいものではないが、攻撃の手口が大幅に複雑化しているという。

 「以前は、ひどい言葉遣いや、英語のなかにロシア語が混じるといったお粗末なものだったが、最近ではISPの実際の通知を手に入れて、そのリンクを修正するような高度なものになった」(Jevans)

 昨年12月にInternet Explorerに見つかったセキュリティの脆弱性は、フィッシング業者の悪用を許すものだったため、Microsoftは先頃修正パッチをリリースしてこの問題に対応した。だが、このパッチがリリースされるより先に、フィッシング業者は新しいテクニックを開発していた。

 APWGによると、新しいフィッシング手法には、ユーザーが利用するISPからの電子メールと思ってそのなかのリンクをクリックすると、メインのブラウザメニューではそのISPのウェブサイトに行くが、ただし新しいウインドウがポップアップ表示され、クレジットカード情報の入力を求めてくるというものがある。ポップアップウインドウでURL情報が表示されることはほとんどないことから、ユーザーは疑いを抱きにくいという。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集