Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

チャリティ宝くじ詐欺

Created: 01 Jun 2012 10:57:29 GMT • Translations available: English
Mathew Maniyara's picture
0 0 Votes
Login to vote

共同執筆者: Avdhoot Patil

宝くじ詐欺は、目新しいフィッシング手法ではないため、フィッシング攻撃者たちは、新たな偽の宝くじの手口を常に探っています。今回は、宝くじの賞金を慈善事業に寄付するという手口が使われています。大手銀行が顧客向けの宝くじを企画しており、賞金の一部が慈善事業に寄付されると謳うフィッシングサイトを作成しています。フィッシング攻撃者たちは、賞金の獲得と慈善事業への寄付という 2 つのメリットに顧客たちが騙されるだろうと考えたのです。フィッシングサイトは、米国の Iowa Park にあるサーバーでホストされていました。

フィッシングサイトには、顧客に資格情報の入力を求めるログインリンクが用意されています。このリンクをクリックすると、名前、くじの番号、および電子メールアドレスの入力を促すフィッシングページが表示されます。
 

図 1: 姓名、くじの番号、および電子メールアドレスの入力を求めるフィッシングサイト
 

必要な情報をこのフィッシングサイトに入力すると、宝くじの詳細、つまり、くじの番号と当選照会番号が表示され、宝くじの当選金額が「80 万英ポンド」であると強調されます。また、宝くじの賞金を顧客の銀行口座に振り込むための[TRANSFER(振り込み)]と書かれたボタンがページの下部に用意されています。
 

図 2: 宝くじの詳細を求めるフィッシングサイト
 

[TRANSFER(振り込み)]ボタンをクリックすると、振り込み先の銀行口座の詳細を要求されます。ここで要求されるのは、口座の名義、口座番号、銀行名、国/地域名です。最後に、寄付をする慈善団体を選択するように求められます。この手口に乗ってフィッシングサイトにログイン情報を入力したユーザーは、個人情報を盗まれ、金銭詐取に使われてしまいます。
 

図 3: 銀行口座の詳細を要求するフィッシングサイト
 

図 4: 慈善団体の選択を求めるフィッシングサイト
 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティ 2012 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。