「金融機関サイトのコンテンツを偽物にすりかえる」，新たなフィッシング手口を英企業が警告

早坂利之

2004.11.10

　英SurfControlは米国時間11月8日，金融機関のWebサイトの欠陥を突いて個人情報を盗み出す新たなフィッシングの手口について警告した。「賢明で用心深いユーザーでさえ，だまされてしまうテクニック」（同社）

　この手口は，SurfControl社のGlobal Threat Command Centersの研究員が今週確認したもの。米SunTrust Bankと豪Citibank AustraliaのWebサイトにおける検索スクリプトの欠陥を悪用し，javascriptページを実行して，Webサイトのコンテンツを不正なコンテンツにすりかえる。WebサイトのURLは正しいが，コンテンツは偽物ということになる。

　さらに，偽物のコンテンツのWebページは本物のデザインと酷似しているため，「上級ユーザーでも本物と偽物を区別することはほぼ不可能」（SurfControl社）という。

　SurfControl社グローバル・コンテンツ部門バイス・プレジデントのSusan Larson氏は「これは，我々がこれまで目にした中では，最も高度なフィッシングの手口だ」と語る。「今までは，ユーザーが注意していれば，あやしいURLを識別することができた。今回の手口は，コンピュータ犯罪が絶えず進化していることを示している」（同氏）

　SurfControl社によると，フィッシングがスパム・メール全体に占める割合は8％だが，その数は2004年1月以降1200％増えている。同社は企業のフィッシング対策として，主に以下の項目を挙げている。

・未承認の電子メールに対して，機密情報を決して提供しないよう教育する
・未承認の電子メールに記載されたリンクを決してクリックしないよう勧告する
・AUP（Acceptable Use Policy）を設定し，社内で受入れ可能なWebコンテンツを明確にする
・アンチウイルス・プログラムとOSを常に最新のものにアップデートしておく