セキュリティ企業の米トレンドマイクロは2008年4月17日、フィッシング詐欺の新しい手口を確認したとして注意を呼びかけた。メールで誘導したオンラインバンクの偽サイトにおいて、「デジタル証明書(電子証明書)を作成およびインストールするため」として、パスワードなどを入力させようとする。
フィッシング詐欺の多くは、偽のメールを使って、オンラインバンクなどをかたる偽サイトのログインページやユーザー情報の確認ページへ誘導し、ユーザーIDやパスワードなどの個人情報を入力させて盗む。
ところが、今回確認されたフィッシング詐欺では、「デジタル証明書のインストールページ」に誘導する。このため、「従来の手口に警戒しているユーザーでも、だまされる可能性がある」(トレンドマイクロ)。
今回のフィッシング詐欺では、米バンク・オブ・アメリカをかたる偽メールを使って、同銀行の偽サイトに誘導。誘導した「デジタル証明書のインストールページ」では、「オンラインバンクにログインするには、お使いのパソコンに、あなたのデジタル証明書をインストールする必要がある」として、デジタル証明書の作成を要求する(図1)。
そして、デジタル証明書の作成に必要として、ユーザーIDやパスワードを入力するよう促す。また、Internet Explorerを使用している場合には、「Microsoft Certificate Enrollment Code」というActiveXコントロールの実行が要求される。
このActiveXコントロールを実行するとともに、要求通りにパスワードなどを入力すると、今度は「sophialite.exe」というプログラムをダウンロードおよび実行するよう要求される。このプログラムはウイルス(悪質なプログラム)。トレンドマイクロの対策ソフトでは、ダウンロードしようとすると警告が表示されるという(図2)。
フィッシング詐欺犯は、あの手この手でユーザーをだまそうとする。個人情報を入力する際には、十分注意する必要がある。
