2010年8月下旬、英国最大手の電気通信事業者である「BT Group plc」(ブリティッシュ・テレコム、BT)のOutlook Web Accessサイトがフィッシング詐欺に利用される事件が発生した。大企業の従業員が利用するメールのアカウントを盗み、様々な情報を入手することを狙ったものと思われる。
そっくりなページでログイン情報を盗む
BTが利用しているWebメールサービス「Outlook Web Access」のログインページをまねたフィッシングページが確認され、この英国最大手の電気通信事業者がフィッシング詐欺の対象となっていることが明らかになった。「Outlook Web Access」は、インターネット経由でMicrosoft Outlookの機能を利用できるもので、従業員は外出先や自宅で、自分のメールボックスにアクセスできる。この偽のログインページにアクセスし、通常通りメールアドレスおよびパスワードを入力すると、BTの公式サイトへ誘導される。この段階でユーザーが入力した情報はサイバー犯罪者の手に渡ってしまう。
偽メール、偽ページを駆使して、ログイン情報などを盗むフィッシング詐欺は、今日のサイバー犯罪において主要な手口の一つとなっている。偽のログインページは、正規サイトのページをまねて巧妙に作られているため、見た目だけで偽物であるとは容易に気付けない。こうしてユーザーはすっかりだまされて、偽ページ上で個人情報を入力してしまう。そして入力した個人情報は、サイバー犯罪者の手に渡ってしまうのである。
以下の画像は、正規サイト(左)と今回見つかったフィッシングページ(右)を比較したものである。
違いとしては、次の点が挙げられる。
- 正規サイトで特徴となっている(1)の青色のメニューバーが偽サイトには存在しない
- 偽サイトでは、(2)の「Help with email」の部分がボックスで囲まれておらず、レイアウトにわずかな違いがある
- ログイン部分の上に表示される(3)の文言と、ログイン部分の下に表示される(4)の文言がそれぞれ異なる
細かな違いはあるものの全体のデザインなどはそっくりで、BTの社員でも正規のサイトとフィッシングページの違いにすぐには気付かず、見過ごしてしまいそうである。
それぞれのURLを確認すると、決定的な差異がある。正規ページのURLは、以下のとおり、「https」から始まり、SSLによるデータの暗号化機能を付加したプロトコルが使用されており、そのすぐ後に企業名が続いている。
【正規のURL】
https://<省略>/exchweb/bin/auth/owalogon.asp?url=https://<省略>/exchange&reason=0
偽のログインページのURLは、以下のように通常の「http」が使用されているばかりでなく、そのすぐ後に怪しげなドメイン名が続き、その次に企業名、という構成になっている。
【偽のURL】
http://www.<省略>iry.com/slide/bt/login.php
フィッシング詐欺で広がる情報収集の連鎖
フィッシング詐欺は、不特定多数のユーザーからユーザー名とパスワードを入手するための典型的な手口である。サイバー犯罪者は、収集した情報を別の不正活動に使用したり、地下フォーラムで売買したりする。フィッシングページは、ほとんどの場合、本物そっくりに作られた何らかのログインページや情報入力ページであり、誘導されてきたユーザーは、偽ページとは気づかずに個人情報を入力してしまう。こうして個人情報は、サイバー犯罪者たちの手に渡り、詐欺行為に悪用されたり、新たな被害者から個人情報を得るための手段としても利用されるのである。
今回の攻撃では、BTが利用する「Outlook Web Access」のWebページにそっくりなフィッシングページが作られたわけだが、これは、まさにこの企業の大きさをうまく悪用した手口だろう。BTは、170カ国においてコミュニケーションソリューションおよびサービスを提供する世界的なリーディングプロバイダーであり、グローバルでのネットワークITサービス、市内・長距離・国際通信サービス、付加価値ブロードバンド、インターネット向け製品、FMC(固定通信と移動通信の融合)製品およびサービスを主な事業としているということで、まさしく世界有数の電気通信事業者である。「Outlook Web Access」を利用する従業員の数も相当数いると思われ、そこでやり取りされるメールによる機密情報には、非常に価値のあるものが多く含まれているだろう。
