英SurfControlは米国時間11月8日,金融機関のWebサイトの欠陥を突いて個人情報を盗み出す新たなフィッシングの手口について警告した。「賢明で用心深いユーザーでさえ,だまされてしまうテクニック」(同社)
この手口は,SurfControl社のGlobal Threat Command Centersの研究員が今週確認したもの。米SunTrust Bankと豪Citibank AustraliaのWebサイトにおける検索スクリプトの欠陥を悪用し,javascriptページを実行して,Webサイトのコンテンツを不正なコンテンツにすりかえる。WebサイトのURLは正しいが,コンテンツは偽物ということになる。
さらに,偽物のコンテンツのWebページは本物のデザインと酷似しているため,「上級ユーザーでも本物と偽物を区別することはほぼ不可能」(SurfControl社)という。
SurfControl社グローバル・コンテンツ部門バイス・プレジデントのSusan Larson氏は「これは,我々がこれまで目にした中では,最も高度なフィッシングの手口だ」と語る。「今までは,ユーザーが注意していれば,あやしいURLを識別することができた。今回の手口は,コンピュータ犯罪が絶えず進化していることを示している」(同氏)
SurfControl社によると,フィッシングがスパム・メール全体に占める割合は8%だが,その数は2004年1月以降1200%増えている。同社は企業のフィッシング対策として,主に以下の項目を挙げている。
・未承認の電子メールに対して,機密情報を決して提供しないよう教育する
・未承認の電子メールに記載されたリンクを決してクリックしないよう勧告する
・AUP(Acceptable Use Policy)を設定し,社内で受入れ可能なWebコンテンツを明確にする
・アンチウイルス・プログラムとOSを常に最新のものにアップデートしておく
◎関連記事
■「フィッシングは“人”への攻撃,システムでは守り切れない」――Bruce Schneier氏
■「フィッシング攻撃を仕掛けている組織は5つにも満たない」,米CipherTrust
■「ネット・ユーザーの8割が個人情報盗難を懸念」,米調査
■「フィッシングと異なる新たな手法の詐欺サイトが増加中」,米調査
■「Sender Policy Frameworkはスパムには効かないものの,フィッシングには有効」
■フィッシングに対抗する団体「TECF」が発足,防止に向け標準仕様策定へ
■「フィッシングと異なる新たな手法の詐欺サイトが増加中」,米調査
■「2004年6月のフィッシング攻撃は1422件,92%が偽りの送信元アドレスを使用」,米調査
[発表資料へ]