携帯電話の技術は日進月歩で発達していますが、フィッシング攻撃者も携帯電話の利用に伴う脆弱性を悪用する手口を日々模索しています。この傾向が目立つのは大きく言って次の 2 つの点で、第 1 はワイヤレスアプリケーションプロトコル（WAP）のページを狙ったフィッシング、第 2 は携帯端末用に登録されているドメイン名の危殆化を利用することです。

携帯電話や WAP ページ用に、多くの正規の企業が Web サイトを設計しています。WAP ページと通常の Web ページとの違いは、WAP ではファイルサイズが縮小され、グラフィックも最小限に抑えられているという点です。これは、携帯電話の互換性のためであるとともに、ユーザーが移動中のブラウジング速度の高速化を達成するためでもあります。シマンテックでは、こうした Web ページを詐称するフィッシングサイトを記録し、その傾向を監視しています。6 月には、このようなフィッシングサイトで、ソーシャルネットワークや情報サービスのブランドも利用されていました。以下に示すサンプルは、ユーザーのログイン情報を入力するフォームしかないフィッシングページの例です（携帯電話向けの典型的なデザインです）。要求されている情報をユーザーが入力すると、正規のブランドの WAP ページにリダイレクトされます。この場合のフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

携帯電話からアクセスする Web サイトで使われるドメイン名では、.mobi という最上位ドメインが一般的です。これらのドメイン名が侵入を受け、複数のフィッシングのホストとして利用されています。過去 6 カ月間で見ると、こうしたフィッシングサイトのおよそ 65% が銀行関係のブランドを詐称し、19% が電子商取引関連、残りが ISP、ソーシャルネットワーク、情報サービス部門を詐称していました。

フィッシング攻撃における最大の動機が個人情報の盗難であることは変わりません。携帯電話ユーザーを標的とするのも、同じ成果をあげるために戦略が新しくなったにすぎません。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

•    電子メールメッセージの中の疑わしいリンクはクリックしない。
•    電子メールに返信するときに個人情報を記述しない。
•    ポップアップページやポップアップ画面に個人情報を入力しない。
•    Norton Internet Security 2011 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

------------------------

備考: このブログの共同執筆者である Wahengbam RobinSingh 氏に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。