2005年08月17日(水) 14時44分

「正規サイトでも安心できない」フィッシングの新手口（WIRED）

本記事はウェブセキュリティ特集として再編集されたものです。本記事の初出は2005年6月23日です。

　デンマークのセキュリティ対策会社、セキュニア社は21日(現地時間)、JavaScript(ジャバスクリプト)を悪用した新種のフィッシングへの警戒を呼びかけた。金融機関のウェブサイトなどに接続した時に、サイトは本物なのに偽のポップアップ・ウィンドウが開かれ、そこに暗証番号などを入力させようとする。

　犯人は、銀行へのリンクなどを表示したサイトを開設。このリンクをクリックすると本物のサイトにつながるが、その上に重なるように偽のウィンドウが開かれ、正規の手続きと信じ込ませる。

　同社のサイトでブラウザーを http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/ テストできるようになっており、米グーグル社をサンプルとして新手口を再現している。主要なブラウザーのほとんどが影響を受けるが、最新版『オペラ8.01』は偽ウィンドウであることを察知しやすく改良されているという。

　ブラウザーの設定を変更し、JavaScriptに非対応にすれば被害を防げる。ただ、JavaScriptを有効にしていないと、正規のサイトも正常に閲覧できない場合が多いのが難点だ。



WIRED NEWSのメール購読申込みは http://hotwired.goo.ne.jp/reception/index.html こちらへ

http://headlines.yahoo.co.jp/hl?a=20050817-00000005-wir-sci