ポップアップ・ウインドウを使って,Internet Explorer(IE)のアドレス・バーを偽装するフィッシングが出回っている。フィッシング対策の業界団体「Anti-Phishing Working Group」が現地時間11月1日に警告しており,実際,編集部にも偽サイトへ誘導するメールが送られてきた。米Citibankも10月25日付けで,同様の手口と思われるフィッシングを警告している

 メール中のリンクをクリックすると,米Citibankに見せかけた偽サイトに誘導される。偽サイトではアドレス・バー上にCitibankの正規のURL(https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp)を記述したポップアップ・ウインドウが表示されて,偽サイトの本当のURLが隠される(写真の拡大表示)。

 ポップアップ・ウインドウ(JavaScriptの「window.createPopup()」メソッド)を使って画面表示を偽装する方法自体は新しいものではない。IEのダイアログ表示を偽装する方法の一つとして,2004年7月に報告されている(関連記事)。現在出回っているフィッシングは,これを“応用”したものだ。

 アクティブスクリプトを無効にすれば,ポップアップ・ウインドウは開かないので偽装を防げるが,多くのサイトでは画面がきちんと表示されなかったり,サービスを受けられなくなったりする。例えば,記者の環境(Windows 2000+IE 6)でアクティブスクリプトを無効にして米Citibankの正規のページ(https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp)にアクセスしたところ,ページが適切に表示されなかった。

 フィッシングの手口は巧妙になる一方である。「メールで誘導されたWebページでは重要な情報は入力しない」「リンク先が分かるように,すべてのメールをテキスト形式で表示させる(HTMLメールとして表示させない)」「重要な情報を入力する際には,SSL通信していることを表す『錠マーク』を確認するとともに,錠マークをクリックしてデジタル証明書の中身をチェックする(錠マークは偽装される可能性があるので,錠マークだけで安心してはいけない)」「ページの『プロパティ』でURLを確認する」――といった対策を施して,だまされないようにしてほしい。

 疑うとキリがないが,“見た目”は信用できなくなっているのが現状である。十分注意してほしい。また,“工夫”の対象となるのは,多くの場合,IE(およびIEを利用するメール・ソフト)なので,IE以外のブラウザ(IEを使わないメール・ソフト)を使うことも対策になりうる。ただし,他のブラウザでも偽装を許すセキュリティ・ホールは見つかっている。過信は禁物である。

 Webサイトの開発者/管理者も気をつけたい。「アクティブスクリプトを無効にしても,必要最低限のサービスは提供できるようにする」「アドレス・バーやステータス・バーはきちんと表示させる」「フレームやポップアップは使わない」――といったサイト作りを心がけて,フィッシングに名前を使われないようにしたい(関連記事)。

◎参考資料
Citibank - 'Security Alert on Microsoft Internet Explorer' 01-Nov-2004(Anti-Phishing Working Group)
Previously Reported E-mail Spoofs Citibank Online Security Message:10/25/04(米Citibank)

(勝村 幸博=IT Pro)