■フィッシング(phishing)
企業などからのメールを偽装してユーザーを偽の企業サイトに誘導し、クレジット・カード番号などの個人情報を不正に入力させて入手・利用する詐欺行為のこと。なおphishingの発音は、fishing(つり)と同じです。これは、企業からのお知らせという「エサ」で、ユーザーを「釣る」ことに由来しています。ユーザーを誘導する偽の企業サイトでは、JavaScriptやInternet
Explorerの脆弱性を悪用して、アドレス・バーなどには本物の企業サイトのURLを表示させます。これにより、ユーザーに本物の企業サイトであると思い込ませ、個人情報の入力の促します。
すでに米国では、大手銀行の「Citibank」を騙ったphishingによる被害が発生しています。この事件では、Citibankのサポート担当を騙り、「登録メールアドレスの確認のお願い」という内容のHTMLメールを送り、ユーザーがWebサイトにアクセスした際に、カード番号と暗証番号を入力させるというものでした。またMicrosoftを騙り、「セキュリティ・パッチのダウンロードのお知らせ」といった内容のメールにより、トロイの木馬型ウイルスをダウンロードさせるような行為も報告されています。
このようなソーシャル・エンジニアリングによるphishingメールが増えつつあります。前述のようにInternet Explorerの脆弱性を悪用し、アドレス・バーなどに、実際にアクセスしているサイトとは異なるURLを表示させるものも少なくありません。Internet
Explorerのアドレス・バーが偽装される脆弱性に対しては、すでに修正プログラムが提供されています。この修正プログラムだけでアドレス・バーの偽装を完全に防ぐことはできませんが、一部のphishingメールに対しては有効です。いずれにせよ、不用意にWebページでクレジット・カード番号や暗証番号などを入力しないなどの自衛が必要です。また、個人情報の入力が必要となるWebページでは、アドレス・バーのURLを、別のInternet
Explorerで入力して再アクセスするなどするとよいでしょう。
・TechNetセキュリティ情報 MS04-004(Internet Explorer 用の累積的なセキュリティ修正プログラム):
http://www.microsoft.com/japan/technet/security/bulletin/MS04-004.asp
・HotFix Report MS04-004(クロスドメイン・セキュリティ・モデルに関連する脆弱性により、攻撃者の任意のコード実行を許容する危険性などを含む、Internet
Explorer用の累積的な修正):
http://www.hotfix.jp/archives/alert/2004/ms04-004.html
・セキュリティ用語 ソーシャル・エンジニアリング(social engineering):
http://www.hotfix.jp/archives/word/2004/word04-05.html
|