巧妙さにより磨きがかかるフィッシング詐欺

新たなフィッシング (なりすまし) 詐欺の手口が登場した。フィルタリング技術の SurfControl は8日、金融機関のサーバーが持つ脆弱性を悪用した攻撃の発生を検知して、警告を発した。

今回攻撃に利用されたのは、Citibank Australia および SunTrust Bank の Web サイトで、11月第1週より攻撃は始まった。SurfControl は脆弱性悪用の可能性があると両行に警告したが、両銀行のサイトは数日間に渡って悪用された可能性がある。

通常のフィッシング詐欺では、正当な企業からの通知に見せかけた偽装 Eメールを送信して、ユーザーに個人情報の提供を求める。例えば Citibank からの通知を装って、Eメールアドレスの確認を求めるなどの手口がそうだ。

しかし今回のフィッシング手法は、さらに巧妙さを増しているという。SurfControl のグローバル コンテンツ部門担当副社長 Susan Larson 氏は今回の手口について、「サイト上の検索技術のクラック行為」と語った。

今回両行を利用した ID 窃盗の手口は、実際に両行が管理している Web サイトに偽装ページを割り込ませ、Eメールではこの偽装ページにつながるリンクを記載して、受信者にクリックを促す。これは、両金融機関サイトの検索サーバーに存在する脆弱性を突くもので、実際の Citibank Australia あるいは SunTrust の Web ページの代わりに、攻撃者の作成した JavaScript による偽装ページを表示させることが可能になる。そして、ユーザーが要求に従って個人情報を入力して送信すると、入力データは金融機関のサーバーではなく、攻撃者のサーバーが受け取るという仕組みだ。

従来のフィッシング詐欺で、弱点の1つといえたのは、URL を見ればサイトが本物かどうか容易に確認でき、偽装がすぐに発覚するということだった。しかし今回の手法では、偽装ページを正規の企業のサーバーで覆い隠す形になるため、URL はその企業のものとなり、なりすましを発見するのが非常に困難と Larson 氏は語る。

Larson 氏によると、SurfControl は先週、Citibank Australia および SunTrust を利用した攻撃を確認し、両行にはすでに通知済みという。「私の知る限り、両行のサーバーの脆弱性はまだ直っていない。問題の改善がどの程度難しいのかは、私の知るところではない」と、Larson 氏は述べた。

なお SunTrust の広報担当によると、同行の Web サーバーを利用したフィッシング詐欺の発生は認識しており、すでに対策は済ませたという。一方 Citibank Australia にも問い合わせたが、回答はなかった。