セキュリティ関連のメーリング・リスト「Bugtraq」に米国時間7月21日,米eBayをかたる偽メールを受け取ったというユーザーから投稿が寄せられた。投稿記事によると,偽メールには,そのユーザーがeBayに登録したユーザー名とメール・アドレスが記載されていて,そのアドレスあてに送られてきたという。件名や文面だけからは偽のメールかどうかを判断することが難しくなってきている。十分注意したい。
偽メール中に個人情報などを含めることで相手を安心させるフィッシングが増えているようだ。例えばセキュリティ・ベンダーの米Cyotaでは,そういったフィッシングの手口を「パーソナライズド・フィッシング」として注意を呼びかけている(関連記事)。
Bugtraqへ投稿された偽のHTMLメールの件名は「eBay sent this message to 登録ユーザー名 (登録メール・アドレス)」。本文は「Dear 登録ユーザー名 (登録メール・アドレス)」で始まって,「このメールはサービスを利用していない顧客へ向けて送っています。下記リンクをクリックしてプロセスを完了しないと,3日以内に登録を削除します」といった内容が書かれている(拡大表示。個人情報の部分は投稿者により伏字にされている)。表示されているURLは「http://signin.ebay.com/」で始まっているが,実際のリンクは「http://signin.ebay.com.xxxxx.com/(xxxxは伏字)」から始まる偽サイトに張られている。
リンク先を調べれば偽メールであることに気付くが,実際の登録ユーザー名 と登録メール・アドレスが記述されているためにだまされてしまう可能性がある。投稿者によると,「登録ユーザー名と登録メール・アドレスが知られた理由は分からない」としている。
攻撃者の“戦略”は,以前の「不特定多数」から「特定のユーザー/企業」へと変化している(関連記事)。メールに自分の名前/ユーザー名などが書かれていても油断は禁物である。
◎参考資料
◆eBay phishing - phishers are getting better(Bugtraq)
(勝村 幸博=IT Pro)
