小規模の金融機関を狙う「パドル・フィッシング」，米Websenseが警告

早坂利之

2005.06.18

　米Websenseは米国時間6月13日，「パドル・フィッシング」と呼ばれる新たなフィッシング手口について警告を発した。パドル・フィッシングは小規模の金融機関（銀行や信用組合など）をターゲットとするもので，今年初めから30件以上の被害報告があるという。

　パドル・フィッシングは，狙いを小規模な金融機関に絞り込んでいるものの，手口そのものは通常のフィッシングと変わない。合法的に見せかけた電子メールを送りつけ，PIN番号やクレジット・カード番号などの機密情報を引き出そうとする。最近では，支店が11店舗ていどのコミュニティ・バンクや，米国政府の従業員などを顧客に抱える信用組合が被害に遭っている。

　Websense社セキュリティ／テクノロジ・リサーチ部門シニア・ディレクタのDan Hubbard氏は「フィッシングはこれまで，数百万人のユーザーをかかえる主流Webサイトをターゲットとしてきたが，現在はより小規模で地域密着型の金融機関を狙うようになっている」と述べる。また同氏は，「最近発生したパドル・フィッシングの多くは，攻撃スタイルが非常に似通っており，何らかのツールを共有しているか，あるいは少人数の攻撃グループが仕掛けている可能性がある」と分析する。

　ちなみに，フィッシング対策の業界団体Anti-Phishing Working Group（APWG）の調査によると，2005年4月にフィッシングによってWebサイトが乗っ取られたブランドのうち，84％が金融サービス分野だった。