フィッシング対策の業界団体である米Anti-Phishing Working Group(APWG)は米国時間1月20日,2004年12月中に寄せられたフィッシングに関する情報を集計して発表した(PDFファイル)。それによると,12月中に確認されたフィッシング目的の偽サイトは過去最悪の1707件(11月は1546件)。このためAPWGでは,フィッシングに注意するよう改めて呼びかけている。加えて,悪質なプログラムを使ったフィッシングについても警告している。
APWGによると,12月中に確認されたフィッシング目的の偽メールの種類は9019件。11月に確認された件数に比べると,およそ6%増だという。一方,偽サイトの数はメールの伸び率を上回り,11月と比較するとおよそ10%増加している。
12月に確認した偽メールや偽サイトに名前を使われている企業(ブランド)数は55(11月は52)。ただし,“上位”7ブランドをかたるフィッシングが全体の8割を占めており,特定のブランドが頻繁に悪用されていることが分かる。
このほかAPWGでは,悪質なプログラムを勝手にダウンロードさせる偽サイトについて注意を呼びかけている。正規の企業から送られたように見せかけた偽メールを使って,ユーザーを偽サイトに誘導するところまでは一般的なフィッシングと同じ。悪質なプログラムを使う手口では,この先が異なる。
一般的なフィッシングでは,偽サイトに用意したフォームなどに個人情報を入力させる。一方,悪質なプログラムを使う手口では,ブラウザのセキュリティ・ホールをついて,ユーザーのキー入力を盗むソフト(キー・ロガー)などを勝手にダウンロードさせて実行させる。APWGでは,この手口を使ったVisa Brazilをかたる偽メール/サイトを例に警告している。
こういった手口の被害に遭わないためには,「信頼できないリンクはクリックしない」だけではなく,「使用しているソフトウエアのセキュリティ・ホールをきちんとふさぐ」ことも重要だ。
◎参考資料
◆Phishing Activity Trends Report - December 2004(PDFファイル)
(勝村 幸博=IT Pro)
