英Sophosは現地時間11月30日,米内国歳入庁(IRS)の税金還付通知を装ったフィッシング・メールに対する警告を発した。このフィッシングは,本物の米政府Webサイトにおけるセキュリティ設定のミスを悪用したもの。このミスを利用して,詐欺犯は訪問者を偽のサイトにリダイレクトすることができる。
このフィッシング・メールでは,納税者に対して還付金を受けるためにIRSのWebサイトを訪問するように呼びかけている。より本物らしく見せるために,メッセージ内のURLを直接クリックするのではなく,Webブラウザのアドレス・バーにコピー&ペーストするように指示している。このURLは本物の政府Webサイトのドメイン名(www.govbenefits.gov)を使っているが,同サイトの設定ミスのために,詐欺犯が設置した偽サイトにリダイレクトされてしまう。
偽のサイトでは,社会保障番号や税務還付申告コード,クレジットカードなどの情報を入力するよう求められる。
「このフィッシングは,Webリンクが,最初に実在する政府運営Webサイトに導かれるため,典型的なフィッシングよりも巧みなものとなっている。残念なことに,詐欺犯はこのサイトの構成方法を悪用して,訪問者を偽サイトにリダイレクトしている。犯人は,同サイトをハッキングする必要はなかった。同サイトには最初からずっとこの脆弱性があった」(同社シニア技術コンサルタントのGraham Cluley氏)
同社では,ユーザーに対し,一方的に送りつけられたメールには注意するように呼びかけている。
米メディアの報道(CNET News.com)によると,同サイトを運営する労働省の関係者は,「同問題に気づいた政府は修正に取り組んでいる」と同日発表している。
◎関連記事
■「400ドルが当たりました!」,米Googleを騙るフィッシング・サイトが出現
■「2005年4~9月に最もスパムを送信した国は米国」,英Sophosの調査
■「ITプロの8割が『セキュリティ意識の低い社員が企業を危険にさらしている』と回答」---英Sophos
■「ユーザーからのフィードバックで新しいスパムやフィッシングに即座に対応」---米Cloudmark
[発表資料へ]
