Symantec Security Response Weblog


Do as I Say, Not as I Do」より
March 3, 2008 Posted by Silas Barnes

 攻撃者たちがユーザーから認証情報を引き出す方法はいくつもあるが,依然として最も使われている方法の一つがフィッシングだ。米シマンテックのスパム・トラップは,オークションWebサイト「eBay」で最近行った取引について何らかの対応を求めるユーザーがターゲットになっている一連の電子メールを検出した。これらの電子メールには問題となった製品のハイパーリングが複数含まれており,いずれかをクリックすると,Webブラウザでリモート・ホストへのFTPサイトが開き,eBayの正規のログイン・ページのコピーが表示される。

 筆者が注目したのは,この不正コピーの中に,eBayのセキュリティ・ヒントの一つが含まれており,「Check that the Web address in your browser starts with https://signin.ebay.com(ブラウザに表示されているWebアドレスがhttps://signin.ebay.comで始まっていることを確認してください)」とユーザーに指示している点だ。このアドバイスに従いさえすれば,現在表示中のページが疑わしいものであることが分かる。



[画像のクリックで拡大表示]

 攻撃者が自らの悪事をふいにしかねないやり方で,獲物に情報を示しているのはなぜなのか。この攻撃者が不慣れで,摸倣したWebページをよく確認しなかったためなのか。可能性は十分ある。ただ,それよりも重要なのは,このような表示は攻撃の成功に影響しないのだろうか,という疑問だ。筆者が思うに,恐らく影響しないのだろう。

 通常のインターネット利用者は,頻繁に訪れるWebサイトを見慣れるにつれ,徐々にセキュリティを意識しなくなる。Webサイトの有効性を記憶の上で無意識にチェックすると同時に,重要な変更だけがすぐ目に付くようになる。URLやWebページの変更(今回のケースではログイン・フォーム)は,利用者が最も注意を払わない場所であり,再確認しないことが多い。攻撃者はこの点を把握しており,獲物がセキュリティの最も重要な目安であるURLなどに目もくれずに,さっさとログインするのを期待している。

 ユーザーが,ネットで利用するあらゆるWebサイトで「フィッシングの兆しはないか」と疑心暗鬼になることはほぼあり得ない。ただ,銀行,商取引,オークション,小売店など,個人の機密情報を扱うサービスのWebサイトにアクセスする際には,URLを目で素早く確かめることで,このような攻撃の大半を失敗に終わらせることができる。わずか数秒の手間が大きな悩みの種を取り去ってくれる。

 我々はログインのたびに注意を払う必要がある。攻撃者たちにとって必要なのは,我々がたった一度へまをやらかすことだけなのだ。


Copyrights (C) 2008 Symantec Corporation. All rights reserved.

本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Do as I Say, Not as I Do」でお読みいただけます。