国内ユーザーを狙う“フィッシング”が次々と出現している。日本語の偽メールでユーザーを日本語の偽サイトへ誘導し,ユーザーIDやパスワード,クレジットカード番号などを入力させようとする。アドレス・バーを偽装する“日本語フィッシング”サイトも出現しているので十分注意してほしい。

 11月のはじめには「VISA認証サービス」を偽装した日本語メールが出現し,ビザ・インターナショナル東京事務所は11月11日に警告(関連記事)。VISAをかたる英語の偽メールや偽サイトは多数出現しているが,日本語のものは,これが初めてだという。その後,VISAをかたる別のタイプの日本語メールも出現している(写真の拡大表示)。

 ヤフーをかたる日本語のフィッシング・メールも出回っている。ヤフーでは11月15日に同社サイトで警告した。このフィッシングの特徴は,メールで誘導した偽サイトのアドレス・バーを“偽装”すること。JavaScriptやフレームを使って,アドレス・バーにはヤフーのURLを表示させ,ページの中身にだけ偽サイトのページ(フレーム)を表示させる。同社では詳細は明らかにしていないものの,Yahoo! Japan(Yahoo!メール)サイトの不具合を悪用しているようだ。

 具体的には,Yahoo!メールのアドレスに送られてきた「Yahoo! JAPAN - 有料コンテンツご利用停止に関するお知らせ」といった件名のメール中のリンクをクリックすると,アドレス・バーに表示されるURLはヤフーのもののままで,ブラウザ・ウインドウには偽サイトのコンテンツが表示されるようだ。そのコンテンツ部分では,ユーザーIDやパスワード,クレジット・カードなどを入力するよう促す。だまされて入力すると,それらは偽サイトへ送信される。

 ヤフーには,「実際にパスワードを入力してしまった」というユーザーからの報告が数件寄せられているいう。少しでも覚えがあるユーザーは確認してほしい。同社では,パスワードを入力した場合にはパスワードの変更を,クレジットカード番号を入力してしまった場合には,カード会社に相談するよう勧めている

 ヤフーによると,11月15日に上記の不具合を修正したという。このため,現在では全く同じ手口は使えなくなっている。とはいえ,「これですべてのフィッシングに対応できるようになったわけではない。フィッシングの手口はさまざまなので,ユーザーには十分注意していただきたい」(同社広報)。

 実際,フィッシングの手口は“巧妙化”の一途をたどっている(関連記事1関連記事2)。このため同社でも,対応には苦慮しているようだ。「例えば,安易に“偽サイトの見抜き方”などを書いてしまうと,裏をかかれる恐れがある」(同社広報)。具体的には,「アドレス・バーやステータス・バーを確認する」や「(SSLが使われていることを示す)錠マークを確認する」といった“見抜き方”は,これらが有効な場合もあるものの,これらだけに頼ると逆に危険な場合があるからだ。アドレス・バーやステータス・バー,錠マークなどを偽装する手口は既に存在する。今回のヤフーをかたるフィッシングはその一例だ。

 ヤフーをかたる日本語のフィッシングは2003年の終わりごろから出現している。しかしながら,いずれも“単純”だった。アドレス・バーを偽装するようなフィッシングは,同社が確認している中では今回が初めてだという。

 米国では依然大流行しているフィッシングだが,国内でも,もはや対岸の火事ではなくなっている。信頼できないメール(Webメールを含む)中のリンクから誘導されたWebページでは,いくらそのページが本物のページに見えても,個人情報などは入力しないようにしたい。

 ユーザーばかりではなく,サイトの開発者/運用者も注意が必要だ。フィッシングに悪用される不具合――例えば,クロスサイト・スクリプティングの脆弱性など――がないことを改めて確認したい。悪用されにくいサイト作りも重要だ。「フレームを使わない」「アドレス・バー/ステータス・バーをきちんと表示させる」「ブラウザでスクリプトを無効にしていてもきちんと表示されるようにする/サービスを利用できるようにする」――など(関連記事)。

 国内ユーザーを狙うフィッシングは,今後ますます出回るだろう。ユーザーも開発者/運用者も,十分注意したい。

◎参考資料
Yahoo! JAPANを装う悪質なメールやページにご注意ください
Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意

(勝村 幸博=IT Pro)