フィンランドF-Secureは現地時間8月25日,米PayPalをかたった「中間者攻撃(man-in-the-middle attack)」タイプのフィッシング詐欺が確認されたとして注意を呼びかけた。ユーザーがフィッシング目的の偽サイト(フィッシング・サイト)へパスワードなどを入力すると,偽サイトはその情報を使って本物のPayPalサイトへログインを試みて,パスワードが本物かどうかを確認する。
中間者攻撃とは,正規の通信の間に“割り込んで”,通信の当事者には気付かれないように通信内容を盗んだり改ざんしたりする攻撃手法。今回のフィッシングでは,ユーザーと正規のWebサイト(PayPalのサイト)の間に割り込んだ形になる。ユーザーに対しては,攻撃者が構築した偽サイトをPayPalのサイトと思わせ,PayPalのサイトに対しては,偽サイトを同社サービスのユーザーに見せかける。
今回確認されたフィッシングでは,本物そっくりのログイン画面にユーザーを誘導し,メール・アドレスとパスワードを入力させる(写真1)。そして,入力されたパスワードなどを使って,バックグラウンドで本物のPayPalサイトへアクセスし,それらが本物かどうかを検証。PayPalサイトへログインできなかった場合には,それらが偽物だとして,エラー・メッセージを表示する(写真2)。
本物のパスワードが入力された場合には,偽の「セキュリティ対策(security measure)」ページを表示して,登録しているクレジット・カードを入力するよう促す(写真3)。
このフィッシングでは,本物のパスワード情報だけを収集するために“中間者攻撃”の形をとっていると考えられる。中間者攻撃フィッシングでは,ワンタイム・パスワードなどの2要素(2因子)認証を使っていてもだまされる恐れがある(関連記事:ワンタイム・パスワードでは防げない“中間者攻撃フィッシング”が出現)。どのような認証手段を利用している場合でも,個人情報を入力する際には,現在アクセスしているサイトが本物のサイトであることを十分に確認する必要がある。
