SSL があっても注意、巧妙な偽 PayPal サイトが出現

この記事のURLhttp://japan.internet.com/ecnews/20030709/12.html

侵入検知のスペシャリスト Internet Storm Center (ISC) は7日、本物の SSL 証明を使ってユーザーを欺いて個人情報を引き出している偽 PayPal サイトがあると、警告を発した。ISC は、情報セキュリティー機関 SANS Institute の1部門。

それによると、詐欺師たちは真正な SSL 証明を使い、あたかも PayPal サイトであるかのように偽装。ID 窃盗を継続的に行なうテクニックを巧妙化しており、偽サイトと見破ることが難しくなっているという。

PayPal は、オンラインオークション最大手 eBay 傘下のオンライン決済サービス会社。同社は、膨大な人数のユーザーと安全に Web ベースのやりとりを行なうため、SSL プロトコルを使っている。SSL はいわば信頼できる事業者の証明のひとつのようなものだが、詐欺師たちはそれを逆用していると ISC は警告する。

ISC の説明によれば、実際の URL を隠して正当なサイトに見せかけるための一般的なテクニックは、URL の頭にユーザー名/パスワードを付加する手法だという。

たいていの場合、偽サイトは SSL を使用していないため、見破るのは簡単だ。「中にはブラウザウィンドウのサイズを拡大し、ウィンドウの下部をスクリーンの外に追いやることで、SSL 未使用の事実を隠そうとしているケースもある」と ISC は指摘する。

しかし、スパムメールの中で最近発見された偽サイトは、正当な SSL 証明を使っており、偽物と特定することが難しくなっている。ISC の調べによれば、問題のスパムメールは、安全な PayPal サイトのように見せかけた URL を訪れるようユーザーを勧誘しているが、実際には CGI スクリプトを使って偽ページに呼び込んでいるのだという。