米EMCのセキュリティ事業部門であるRSAは米国時間1月10日,新手のフィッシング詐欺について報告した。同社は「ツールを使って偽のWebサイトを作成し,非常に高度な攻撃をしかけることが可能」と説明している。
RSAが「Universal Man-in-the-Middle Phishing Kit」と名付けた同ツールはインターネット上の闇取引で,約1000ドルで売買されている(米メディア)。
攻撃者は同ツールのオンライン・インタフェースを使って,動的な偽装Webサイトを作成できる。電子メールを使って偽サイトに誘導するのはこれまでの手口と同じだが,ユーザーが偽サイトにアクセスすると,合法サイトからコンテンツを取り込んで表示。攻撃者は,ユーザーが入力する情報をリアルタイムで傍受する。
RSAのアナリストによると,攻撃対象に合わせて容易に設定可能な“ユニバーサル”なツールであり,ユーザーがアクセスした後は,パスワードやカード番号に限らず,あらゆるタイプの情報を盗めるという。
「攻撃者は個人情報を盗むために,新たな手口を次々と考え出している。このツールはまだ登場して間もないが,今後12~18カ月の間に広まる可能性が高い」(RSA,Consumer Solutions部門担当マーケティング・ディレクタのMarc Gaffan氏)という。
[発表資料へ]
