Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

デジタル通貨のユーザーにセキュリティ確認を求めるフィッシング詐欺

Created: 26 Jun 2013 04:35:16 GMT • Updated: 26 Jun 2013 04:37:41 GMT • Translations available: English
Mathew Maniyara's picture
0 0 Votes
Login to vote

寄稿: Avdhoot Patil

デジタル通貨は電子マネーの一種ですが、比較的新しい概念です。デジタル通貨のほとんどは、この 10 年間に登場したもので、必ずと言っていいほど論争の的になってきました。近年は、マネーロンダリングなどの法的な問題のために一部のデジタル通貨が停止措置を受けたケースもあります。もちろん、フィッシング詐欺師はそんな論争など意に介することもなく、デジタル通貨であろうとその他の形態であろうと、金銭を盗み出す機会を狙うことに余念がありません。2013 年 5 月にも、シマンテックは有名なデジタル通貨会社に偽装したフィッシングサイトを確認しました。

このフィッシングサイトにアクセスすると、ユーザーはアカウントのセキュリティ更新を警告されます。この通知によると、同社のトランザクションシステムについて整合性を確保するために、ユーザーアカウントの確認が必要だということになっています。何度かログインに失敗したために、ユーザーアカウントが制限されている可能性があるとして、その制限を解除するために個人情報を入力するよう指示されます。メッセージの下には、偽の検証プロセスを開始するボタンが配置されています。このボタンをクリックすると別のページにリダイレクトされ、ユーザーのアカウント情報を入力するよう要求されます。

Phish1.jpg

図 1. アカウントのセキュリティ保護と称して個人情報が要求される

個人情報として要求されるのは、ユーザー名、パスワード、電子メール、ユーザーの出身国の通貨などで、それらの情報を入力しない場合にはアカウントが一時的に閉鎖されると警告します。

Phish2.jpg

図 2. 個人情報を要求

要求された情報を入力すると、アカウント情報を確認するページにリダイレクトされます。同じページでは、入力した情報は同社のアカウント管理部門で 24 時間以内に詳しく検証されるとも説明されています。

Phish3.jpg

図 3. 確認ページ

このフィッシングサイトは IP ドメイン(http://255.255.255.255 などのドメイン)を使ってホストされていました。このフィッシングサイトに騙されたユーザーは、金銭の詐取に必要な情報を盗み出されてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。