セキュリティベンダーのRSAセキュリティは2007年12月17日、同社の観測データを基に、2007年11月のフィッシング詐欺の動向などを発表した。それによると、現在世界中で発生しているフィッシング詐欺の半数以上は、「Rock Phish」と呼ばれる組織によるものだという。
「Rock Phish」とは、“正体不明”のオンライン犯罪組織。RSAセキュリティでは「フィッシング犯罪者の代名詞」と形容している。最近では、動画投稿サイト「YouTube」に見せかけた偽サイトにユーザーを誘導して、ウイルス(悪質なプログラム)をインストールさせる手口が横行しているが、これもRock Phishの仕業であるという。
RSAセキュリティの情報によれば、Rock Phishによるフィッシング詐欺サイトには、通常のフィッシング詐欺サイトよりも多数のアクセスがあるという。この理由は、ユーザーを誘導するための偽メールや偽サイトに“工夫”を凝らしているため。
例えば、偽メールのメッセージに無関係な文字列を埋め込むなどして、迷惑メール対策製品(スパムフィルター)をすり抜けるようにする。また、偽サイトのURLを偽メールごとに変えるといった“工夫”もしているという。
同社では、2007年11月に確認したフィッシング詐欺件数も発表。同月に確認したフィッシング詐欺は7833件。10月と比べれば、1700件以上減少した(図1)。また、フィッシング詐欺に名前を悪用された金融機関の6割以上は米国企業だった。
日本国内で確認されたフィッシング詐欺サイトは39件(図2)。国内の大学や市役所のWebサイトが不正侵入されて、海外企業のWebサイトに見せかけたフィッシング詐欺サイトを構築されるケースが相次いでいるという。