寄稿: Avdhoot Patil

2012 年には、サッカーを利用したフィッシング攻撃が何回か確認されました。フィッシング詐欺師が好んで使うのは、サッカークラブ、有名選手、2014 年の FIFA ワールドカップです。2012 年 11 月にもこの傾向は続き、ブラジルポルトガル語を使って 2014 年 FIFA ワールドカップを詐称したフィッシング詐欺が、無料の Web ホスティングサイトで確認されました。

一例として、あるフィッシングサイトでは、ワールドカップ観戦旅行を含めて数百ドルが毎日当たる抽選に応募するようユーザーを煽っています。このフィッシングページの右側には、ワールドカップのマスコット、フレコが使われています。抽選に応募すると、ブラジルの 3 つの電子決済サイトからいずれかを選択するよう求められ、決済サイトを選択すると今度はユーザーの個人情報を入力するよう要求されます。

入力を求められる個人情報は以下のとおりです。

• カード番号
• 電子署名
• カードの所有者名
• パスワード
• 電子メールアドレス
• 電子メールのパスワード

情報を入力するとフィッシングサイトで登録が確認され、画面に「L2Y7DQ852」というラッキーナンバーが表示されます。この番号が、賞金を受け取るときに必要だということになっています。

図 1. 電子決済サイトの選択

図 2. 個人情報が要求される

図 3. 情報の確認画面

2 番目の例では、クレジットカードとデビットカードを扱うブラジルの業者を詐称するフィッシングサイトが、似たような謳い文句で登録を要求します。このフィッシングサイトでは、人気の高いネイマール・ダ・シウバ選手が使われていました。謳い文句によれば、カードで買い物をすると 30 ドルごとにラッキーナンバーを受け取ることができ、そのラッキーナンバーで毎日、宝くじの抽選に参加できることになっています。登録する際には、個人情報の入力を要求されます。

入力を求められる個人情報は以下のとおりです。

• 名前
• CPF（ブラジルの税金関係の処理番号）
• 電話番号
• 住所
• 父親の名前

このフィッシングサイトに騙されると、ユーザーは金銭の詐取に必要な情報を盗み出されてしまいます。

図 4. 個人情報が要求される

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。