最近のフィッシングサイトでは、大学を偽装する、偽の募金を求める、有名人を標的にするなど、さまざまな種類のワナが使われています。今度は、英国に拠点を置くブランドを使い、宝くじでエンドユーザーを誘う手口が登場しました。このフィッシングサイトでは、1,356 ポンド(およそ 18 万円)という宝くじの賞金を餌に、デビットカード口座でこの賞金を獲得するために個人情報を入力するよう求められます。
宝くじは、多数の参加者のなかで、ごく少数しか賞金を獲得できないゲームです。では、フィッシング攻撃者が宝くじの賞金獲得者から個人情報を引き出せる確率は、どのくらいあるのでしょうか。
宝くじでは、賞金の金額が大きくなるほど賞金獲得者の数は少なくなります。したがって、攻撃者の狙いは大量のユーザーを標的にすることにありました。多くのユーザーを欺けば、個人情報を引き出せる確率も高くなると考えたからです。フィッシング攻撃の多くは金銭の詐取が動機ですが、今回は賞金獲得者の銀行口座からさらに大金を得ようと画策しています。
利用された宝くじ会社は、自社の Web サイトが安全に保護されており、個人情報を求めたり、賞金の金額を開示したり、あるいは手付け金を要求したりすることは決してないと強調しています。ユーザーの皆さまは、インターネット詐欺に十分警戒する必要があります。
宝くじの賞金を受け取るためと称して、3 段階の手順を完了するよう要求されます。第 1 段階では、身元確認と称して個人情報の入力を求められます。要求される個人情報は、住所、母親の旧姓、生年月日、電話番号などです。第 2 段階では、デビットカードの詳細情報として、カードの種類、カード番号、カードの有効期限、CVN/CVV、カードのセキュアパスワードが求められます。第 3 段階は確認で、このブランドに関連するセキュアコードを求められます。要求された情報を入力すると、フィッシングサイトは支払い記録が保存されたと称します。ユーザーは、デビットカードの残高を確認するよう指示され、まだ残高に反映されていない場合には 24 時間待つように促されます。このフィッシングサイトは IP ドメイン(hxxp://255.255.255.255 のようなドメイン)を使い、ホストサーバーは東京にありました。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップ画面に個人情報を入力しない。
• Norton Internet Security 2011 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。
ブログの共同執筆者である Avdhoot Patil 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。