金融機関向けセキュリティの米Cyotaは米国時間5月16日に,「パーソナライズド・フィッシング」と称する新たなフィッシング攻撃について警告を発した。この新たな手口では,不特定多数を対象にするのではなく,事前に盗み出した個人情報を使って口座保有者を名指しして,PIN番号やクレジット・カードのセキュリティ・コードといった機密情報を聞き出す。
Cyota社は,同社のアンチフィッシング・サービスを利用する顧客数社において,このフィッシング攻撃を検出したという。通常のフィッシング攻撃は,機密情報を引き出すために何十万通という電子メールを送付するが,パーソナライズド・フィッシングでは,特定の銀行のて口座保有者に狙いを絞る。個人名,電子メール・アドレス,口座番号など,事前に盗み出した情報を使用し,電子メールが合法かつ安全なものであるかのように見せかける。
「パーソナライズド・フィッシングは,口座保有者が応答してしまう可能性が非常に高い。成功すれば,詐欺グループには価値ある情報が手に入り,広範囲にわたって詐欺が行えるようになってしまう」(Cyota社マーケティング部門エグゼクティブ・バイス・プレジデントのAmir Orad氏)
Cyota社は,銀行またはオンラインの取引先から,個人情報やアカウント情報を要求する電子メールを受け取った場合のアドバイスとして,同メール内のリンクをクリックするのではなく,直接そのWebサイトにアクセスして内容を確するよう勧めている。
◎関連記事
■「巧妙になるフィッシングの手口,米国ではメールを信用できない状況に」――セキュアブレイン山村氏
■米AOLがフィッシング対策を強化,米Cyotaとの提携や新機能の追加など
■米Microsoft,フィッシング・サイト運営者117人を提訴
■Yahoo!オークションをかたるフィッシング・メールが出回る
■VISAをかたる日本語フィッシングが再び,偽サイトではURLを偽装
■被害世界一の米イーベイに学ぶ最先端のフィッシング対策
■「フィッシングは『ユーザーをだます手口』から『知らないうちに盗む手口』へ」――APWG
■「2005年1月のフィッシング・サイトは前月比47%増」,米調査
[発表資料へ]