セキュリティ・ベンダーのフィンランドF-Secureは現地時間8月10日,同社のエンジニアなどによるブログ「News from the Lab」において,新しいタイプの偽メールが出回っているとして注意を呼びかけた。米eBayからのメールを装うのではなく,米eBayの他のユーザーからの苦情メールに見せかけることが特徴。
米eBayは,フィッシングに名前を使われることが多い企業の一つ。例えば,フィッシング対策の業界団体であるAPWG(Anti-Phishing Working Group)に2003年9月から2005年4月までに報告されたフィッシング情報194件のうち,37件がeBayをかたっていたという(関連記事)。
eBayをかたる偽メールのほとんどは,「アカウントの再登録/確認が必要です。下記URLにアクセスして手続きしないと,アカウントが失効します」として,ユーザーを偽サイトに誘導し,個人情報を入力させようとする。
ところが最近では,eBay自身ではなく,eBayのユーザーをかたる偽メールが出現しているという。偽メールはHTMLメールで,「お金を送ったのに品物が送られてこない(I sent you the money , where's the package ? )」という苦情が書かれている。苦情の下には「下のボタンを押して,eBayのサイトでこの質問に答えてください」として,ボタンが置かれている。このボタンを押すと,偽のeBayサイトへ誘導される。
偽サイトは“一般的な”フィッシング・サイトである。偽サイトではサイン・インの画面が表示されて,eBayのユーザーIDとパスワードの入力が促される。ここで入力した情報は,ある特定のサイトへ送信される。
“フィッシャ(フィッシングを試みる人物)”は,次々と新しい手口を考える。だまされないように注意したい。
◎参考資料
◆New phishing tactic
(勝村 幸博=IT Pro)
