イーベイのオークションリストを悪用したフィッシングが出現

　eBayのオークションリストをクリックすると、ユーザーIDとパスワードを盗み出すための偽造ログイン画面が表示されるフィッシング詐欺が出現した。

　世界に約1億8100万人のユーザーを抱えるeBayは、間違いなく世界で最も人気のあるオークションサイトだ。eBayはオンライン支払いシステムPayPalを持つことからも、フィッシング事業者など、オンラインで詐欺行為をはたらこうとする人にとって格好のターゲットとなっている。

　フィッシングとは、正当なウェブサイトにそっくりの偽造ウェブサイトを作成して、インターネットユーザーからユーザー名やパスワード、クレジットカード番号などの秘密情報を盗み出そうとする行為を指す。犯罪者は通常、偽造ウェブサイトにユーザーをおびき寄せるためにスパムメールを用いるが、今回はeBayのサイト上にあるオークションリストが悪用された。

　オークションサイトを利用した詐欺行為の中には、一般ユーザーの目には見破るのが難しいものが多い。さらにeBayでは、出品者がウェブプログラミング技術や自動化ツールを使って自分のオークションページをカスタマイズできるようにするサービスを提供している。攻撃者は今回、eBayのこうしたサービスを利用して悪質なリストを含むオークションページを作成し、顧客が悪質なリンクをクリックするとフィッシングウェブサイトが表示されるようにした。

　eBayの代表者Catherine England氏は米国時間3月31日、自社サービスを悪用したこの詐欺行為を認識していると述べた。

　「出品者らは、リストを動的に生成する機能をよく使っている」とEngland氏は述べ、「ユーザーに与えるメリットの方が、偽造サイトが登場したことのデメリットよりも圧倒的に大きい」と続けた。

　eBayは、偽サイトから顧客を保護するためのブラウザ用ツールバーを提供している。また同社のウェブサイトではSpoof Tutorialというページなどを介して、セキュリティ情報も提供している。