2004年02月09日(月) 19時00分

「なりすまし」が高度化--ポップアップを利用した新手の詐欺に注意（CNET Japan）

　フィッシング（「なりすまし」）攻撃は、インターネット上級ユーザーですらだまされかねないほど高度なものになりつつあるようだ。フィッシング阻止に取り組む業界団体Anti-Phishing Working Group（APWG）が米国時間4日に明らかにした。

　フィッシングは、疑いを持たないユーザーに電子メールを送り、リンクをクリックさせて、利用する銀行のWebサイトを真似たルック＆フィールを持つウェブサイトに飛ばし、そこでオンラインバンキング用のパスワードなどの情報を開示させることを狙うというもの。

　APGWによると、フィッシング業者がターゲットにする企業は多様化しており、そのHTMLスキルは大幅に向上しているという。

　APGWは2003年11月、金融機関やeBayなどの企業が、増加傾向にあるフィッシング事件に対応するにあたり、情報を共有するためのフォーラムとして結成された。APWGの会長で、Tumbleweed Communicationsというセキュリティ専門企業の上級執行役員を務めるDave Jevansは、米国ではISPの顧客がターゲットとされることが多いと述べ、近い将来英国のISPの顧客も、攻撃に遭い始めるだろうと予測している。

　「（米国の）大手ISPの中には、（最近）3件のフィッシング攻撃を受けたところがあり、3件とも顧客サポートセンターに数万件もの電話がかかってくるという結果になった。これはかなりのコストだ。英国で（このような事件が）まだ起こっていないのは、われわれにとって驚きだ」とJevansはZDNet UKに語った。

　Jevansによると、フィッシング業者は主にクレジットカード情報を狙っているという。そのため、典型的な詐欺メールの場合、ユーザーに対してクレジットカード期限が切れになった、あるいは請求に問題があるなどの口実を使って、ユーザーに情報の更新を求めてくる。この手口は決して新しいものではないが、攻撃の手口が大幅に複雑化しているという。

　「以前は、ひどい言葉遣いや、英語のなかにロシア語が混じるといったお粗末なものだったが、最近ではISPの実際の通知を手に入れて、そのリンクを修正するような高度なものになった」（Jevans）　昨年12月に、Internet Explorerのなかに見つかったセキュリティの脆弱性は、フィッシング業者の悪用を許すものだったため、Microsoftは先頃修正パッチをリリースして、この問題に対応した。だが、このパッチがリリースされるより先に、フィッシング業者は新しいテクニックを開発していた。


　APWGによると、新しいフィッシング手法には、ユーザーが利用するISPからの電子メールと思い、そのなかのリンクをクリックすると、メインのブラウザメニューではそのISPのウェブサイトに行くが、ただし新しいウインドウがポップアップ表示され、クレジットカード情報の入力を求めてくるというものがある。ポップアップウインドウでURL情報が表示されることはほとんどないことから、ユーザーは疑いを抱きにくいという。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
マイクロソフト、またも「例外的な」パッチリリース--IEのバグを修正 - 2004/02/03 10:05
「もうだまされない」--マイクロソフトからIE用セキュリティパッチ - 2004/01/30 11:10
IEに新たなバグ -- 偽サイトが本物に見える恐れあり - 2003/12/11 11:24


　■CNET Japanニューズレター（登録無料）
　 国内外のテクノロジー・ビジネスに関する新着情報を毎朝お届けするメールマガジンです。
【毎月100名様にギフト券が当たるキャンペーン実施中】

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20040209-00000008-cnet-sci