早稲田大学のある研究室のWebサイトに、フィッシング詐欺目的の偽サイトが構築されていたことが、2007年3月19日に明らかとなった。現在では、偽サイトは削除されている。
偽サイトは、米国のWells Fargo銀行をかたるもの(図1)。同銀行のログイン画面に見せかけたWebページを用意し、ユーザー名やパスワードなどを入力させて盗むのが狙い。典型的なフィッシング詐欺である。詳細は不明だが、何者かに不正侵入されて、この偽サイトを構築された可能性が高い。
今回の偽サイトを発見したのは、海外のあるセキュリティベンダー。そのベンダーの情報によれば、週末にこのフィッシングサイトを見つけて早稲田大学に連絡。そして3月19日の午後4時30分ごろに、その偽サイトがオフライン状態にされて、アクセスできないように対処されたという。
しかしながら、3月20日午前10時ごろに編集部で偽サイトのURLにアクセスしたところ、依然、Wells Fargoに見せかけた偽のログインページが表示された。このため、編集部では同研究室に連絡。3月20日午前11時には、同ページにアクセスできなくなった。
なお、3月20日午前10時時点で、今回の偽サイトは、セキュリティベンダーなどによってフィッシングサイトとして登録されていた模様。偽サイトが閉鎖される前に、フィッシング対策機能を備えるWebブラウザーInternet Explorer 7およびOpera 9でアクセスしたところ、いずれもフィッシングサイトとして検知して、閲覧をブロックした(図2、図3)。
今回のように、海外の企業をかたる偽サイトが、国内のWebサイトに構築されるケースは後を絶たない。セキュリティ組織のJPCERTコーディネーションセンターや情報処理推進機構セキュリティセンターでは、2005年2月に注意喚起の文書を公開している。
Webサイトに不正侵入されてフィッシングに悪用されると、被害は自分たちだけに留まらない。被害者でありながら、加害者にもなる。「自分たちのWebサイトには大事な情報はないから、侵入されても問題ない」などと考えていると、とんでもないことになる。どのようなWebサイトであっても、公開している以上は、万全のセキュリティ対策を施す必要がある。