図1 米ウエスタンユニオンをかたる偽メール(米サンベルトソフトウエアの情報から引用)
図1 米ウエスタンユニオンをかたる偽メール(米サンベルトソフトウエアの情報から引用)
[画像のクリックで拡大表示]
図2 米ウエスタンユニオンをかたる偽サイト
図2 米ウエスタンユニオンをかたる偽サイト
[画像のクリックで拡大表示]

 セキュリティベンダーの米サンベルトソフトウエアは2007年8月23日(米国時間)、米国の金融機関であるウエスタンユニオン(Western Union)をかたる新たなフィッシング詐欺を確認したとして注意を呼びかけた。「w(小文字のW)」の代わりに「v(小文字のV)」2つを使って、偽サイトのドメイン名を本物のように見せかけている。

 正規の企業が取得している(あるいは、取得していると思われる)ドメイン名の「w(小文字のW)」を、「v(小文字のV)」2つに置き換えた紛らわしいドメイン名は、過去にも複数確認されている。例えば2007年7月には、「vvindowsupdate.com」や「vvindowsvista.com」といったドメイン名が確認されている。

 ただしこのときは、これらのドメイン名がフィッシングなどに悪用された事実は確認されていない。今回のケースでは、パスワードなどを盗むことを目的とした、ウエスタンユニオンのサイトそっくりの偽サイトに、「vv」を使った紛らわしいドメイン名が使われている。

 ウエスタンユニオンの本当のドメイン名は「westernunion.com」。一方、今回の偽サイトのドメイン名は「vvesterunion.us」。偽サイトのドメイン名は、冒頭の「w」を「vv」に変えている。そのほかの違いとしては、本物のトップレベルドメイン(TLD)が「com」なのに対して、偽サイトは「us」。また、偽サイトのドメイン名には「n」が抜けている。

 偽サイトへは、ウエスタンユニオンをかたる偽メールで誘導される。偽メールには、メール中のリンクから同社のWebサイトにアクセスしないと、アカウントが失効するといった内容が書かれている(図1)。メールはHTMLメールで、表示されているリンクのURLは本物(westernunion.com)だが、実際の飛び先は偽サイト。ウエスタンユニオンのログインページ(サインインページ)に見せかけた偽サイトでは、ユーザーにメールアドレスやパスワードを入力させようとする(図2)。

 偽サイトの指示に従ってページを進んでいくと、最終的にはウエスタンユニオンの本物のサイトへリダイレクトされる。このため、偽サイトにアクセスさせられたことに気付かない可能性がある。なお、本物のログインページではSSLを使っているが、偽サイトでは使っていない。

 サンベルトソフトウエアでは、米国のフィッシング対策プロジェクト「Phishing Incident Reporting and Termination Squad(PIRT)」に今回のフィッシング詐欺を報告したとしている。しかしながら、本稿執筆時点(8月24日午前10時)では、偽サイトは閉鎖されていない。