RSA Securityのセキュリティ専門家が、巧妙なフィッシングサイトを自動作成するツールを確認した。サイバー犯罪が高度化していることの表れである。
RSAで不正オークション担当プロダクトマーケティングマネージャーJens Hinrichsen氏は米国時間1月10日のインタビューで、このツールをRSAでは「Universal Man-in-the-Middle Phishing Kit」と呼んでおり、アンダーグラウンドで取引されるオンラインショップから1000ドル程度で購入できると説明した。
Hinrichsen氏は「このツールは従来のフィッシングツールと異なり、非常に簡潔なユーザーインターフェースで偽装したいサイトを自由に選べる。競争は続いており、われわれセキュリティ側の陣営は、リソースの強化と技術への投資を続けなければならない」と述べた。
フィッシング詐欺とはインターネットで横行している犯罪で、不正なウェブページとスパムメールを用いてユーザから信用情報やクレジットカード情報などの個人情報を引き出すのが一般的である。
今回発見された新しいツールを利用すると、詐欺師は偽装するサイトや、偽装サイトの設置場所を指定したりするだけでよい。それだけで、PHPスクリプト言語による動的なウェブページが作成される。詐欺師は、侵入したウェブサーバや無料ウェブサーバを利用してこのページをインターネットに公開し、スパムメールやウェブページのリンクなどを使って被害者をサイトに誘導する。
実在するオンラインバンクなど信用あるサイトに似せて静的なウェブページを作成する従来のウェブページとは異なり、このツールで作成した動的なウェブページは、偽装対象とするサイトの最新のページを取り込み、偽装サイトで表示する。Hinrichsen氏によると、偽装者はユーザーが入力した情報を傍受することができるという。
同氏は「信用情報を入力すると、PHPファイルを設置したサーバに(情報を)傍受されてしまう」のだと説明する。その後、被害者は本来のサイトにログインするので、偽装サイトに気付かない可能性がある。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス