米SymantecのZulfikar Ramzan氏は12月26日,同社公式ブログにおいて2006年のフィッシング詐欺を総括した。それによると,2006年はフィッシング詐欺の数が増えただけではなく,攻撃者が新たな“戦略”をとるようになった年だという。

 フィッシングの“基本戦略”は,実在する企業や組織から送られたように見せかけた偽メールでユーザーを偽サイトへ誘導し,個人情報などを入力させること(関連記事)。偽メールを“餌”にした“釣り”のように見えるため,「フィッシング」という名前が付けられている(スペルはfishingではなく,phishing)。

 メールを使って偽サイトへ誘導する従来型のフィッシングは依然増えているが,2006年は,この方法以外でユーザーを“釣る”フィッシングも確認され始めたという。その一つが,電話を使ったフィッシングである。偽メールには,偽サイトのURLではなく,ある電話番号を記載しておく。そしてその電話をかけさせて,口座番号などを盗もうとする(関連記事)。いきなり虚偽の電話をかけて個人情報を盗もうとする手口も確認されている(関連記事)。電話を使ったフィッシングは,「Voice phishing」や「vishing」などとも呼ばれる。こういった手口は,IP電話の普及により電話を使うコストが低くなったために可能になっているとする。

 そのほか,SMS(ショート・メッセージ・サービス)を使うフィッシングも確認されているという。SMSを使って,「あなたはあるWebサイトに登録されているので,以下のサイトにアクセスしてキャンセルしなければ,1日あたりXドル課金されます」といった偽のメッセージを送りつける。ユーザーが慌ててそのサイトにアクセスしてキャンセルの手続きをしようとすると,最終的には悪質なプログラムをインストールされて,そのマシンを乗っ取られてしまうという。この手口は「smishing」などとも呼ばれる。

 加えて,IM(インスタントメッセージ)も“餌”として盛んに使われるようになったという。IMを使って偽サイトへ誘導するようなメッセージを送り,個人情報を盗む。例えば,ユーザーの知人から送られたようなメッセージを使って偽サイトへ誘導し,IMのユーザー名とパスワードを入力させて盗む。その後,それらを使ってそのユーザーのアカウントにログインしてコンタクト・リストを盗み,リストに記載されているユーザーにも同様のフィッシングを仕掛けるという。

 Ramzan氏によると,フィッシングはビジネスとしておこなわれていることが明らかになっており,今後もやむことがないだろうとしている(関連記事)。現在は米国などの英語圏がフィッシング詐欺の主なターゲットだが,2007年以降は日本も“本格的”に狙われる可能性が高いので,十分注意したい。

Symantecの情報