“phishing(フィッシング)”対策の業界団体「Anti-Phishing Working Group(APWG)」は米国時間3月31日,phishingの新たな手口を警告した。phishingとは,実在する企業のWebサイトに見せかけたサイトへユーザーを誘導し,クレジット・カード番号などを入力させる詐欺行為のこと(関連記事)。新たな手口では,ブラウザに表示されるアドレス・バーをJavaScriptとフレームを使って偽装する。「今までに見たことがない手法だ(This is a new phishing attack technique that we have not seen before)」(APWG)。

 今回確認された手口のターゲットとなるのは,米Citibankの利用者。偽のサイトへ誘導するメールの件名は「Verify your E-mail with Citibank」,送信者名は「support@citibank.com」として,Citibankからの通知に見せかける。メールはHTMLメール。本文には,「メールアドレスが有効かどうかを確認するので,下記のリンクをクリックして,CitibankのATM/Debitカード番号とPIN(Personal Identification Number:暗証番号)を入力してほしい」と書かれている。リンクは「https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp」と表示されているが,実際のリンク先は偽のサイトのURL「http://69.56.202.82/~citisecu/scripts/email_verify.htm」になっている(現在,このURLにはアクセスできない)。

 偽のサイトへ誘導するメールには目新しさはない。問題は誘導先のページ「http://69.56.202.82/~citisecu/scripts/email_verify.htm」である。表示にだまされて,メール中のリンクをクリックしてこのサイトへアクセスしても,そのままでは,ブラウザのアドレス・バー(現在表示させているページのURLを表示する,ブラウザの上部にあるバー)には「http://69.56.202.82/~citisecu/scripts/email_verify.htm」と表示されてしまう。

 そこで,このページに細工を施して,偽のアドレスが表示されるようにする。具体的には,JavaScriptを使って実際のアドレス・バーを表示させないようにするとともに,JavaScriptとフレームタグで作成した偽のアドレス・バーを表示させる。偽のアドレス・バーには「https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp」と表示させる。そして,カード番号などを入力させるフォームを表示する。

 このとき,偽のアドレス・バーには「https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp」と表示されていても,実際にアクセスしているのは「http://69.56.202.82/~citisecu/scripts/email_verify.htm」なので,ブラウザにはSSL通信していることを示す鍵マークは表示されない。

 このページから別のページに移動しても,偽のアドレス・バーは表示されたままで,本物のアドレス・バーと同じように機能する。偽のアドレス・バーにURLを入力すれば,そのURLのページに移動できる。このため,ユーザーは偽のアドレス・バーが表示されていることに気が付きにくい。ただし,別のページに移動しても,タイトル・バーには「Welcome to Citi」と表示されたままである。

 APWGでは,今回の手口を「今まで確認した中で,最も洗練された方法の一つ(This is one of the most sophisticated phishing attacks that we have yet detected)」として,特に注意を呼びかけている。

◎参考資料
「Citibank - "Verify your E-mail with Citibank"」(APWG)

(勝村 幸博=IT Pro)