米トレンドマイクロは2008年1月30日(米国時間)、同社の公式ブログにおいて、フィッシング詐欺サイトを構築するためのプログラム(ツールキット)が無償配布されていることを伝えた(図)。このツールの特徴は、詐欺サイトに入力された個人情報をツール作者にも勝手に送信すること。つまり、このツールを使うフィッシング詐欺師をだます仕掛けが施されている。
インターネットには、有名な銀行サイトやオークションサイトなどの偽サイト(フィッシング詐欺サイト)を構築するためのツールが多数出回っている。そういったツールには、本物のサイトで使われている画像データなどが含まれているので、本物そっくりの詐欺サイトを構築することができる。フィッシング詐欺師は、偽のメールなどを使ってこの詐欺サイトにユーザーを誘導し、個人情報を入力させて盗む。
今回報告されたツールも、そういったツールの一種。有名サイト(例えば、米イーベイや米ペイパル、米バンク・オブ・アメリカ)の偽サイトを構築するためのファイルと、入力された個人情報を指定したアドレス(詐欺師のアドレス)へ送信するプログラムなどが収められている。
ただし、今回のツールには、通常の詐欺ツールと大きく異なる点がある。このツールを使おうとする詐欺師をだます点である。前述のようにこのツールには、だまされたユーザーが入力した個人情報を、指定のアドレスに送信する機能がある。その際にこのツールは、詐欺師に分からないように、ツールの作者にもその個人情報を送信する。つまり、フィッシング詐欺師が盗んだ情報をさらに盗むのである。
今回のツールを配布しているのは、「Mr. Brain」と名乗る、モロッコの詐欺師グループ。編集部で調べたところ、ツールを配布しているWebサイトは、現在も稼働している(2008年1月31日正午時点)。トレンドマイクロによれば、今回のツールは実際のフィッシング詐欺に悪用されているという。詳細については現在調査中。明らかになり次第、改めて報告するとしている。
