2 月にシマンテックは、大手クレジットカード会社のブランドを狙った大量のフィッシング攻撃を確認しました。攻撃には多くのフィッシング用 URL が使われましたが、そのいずれも SSL(Secure Socket Layer)で保護されていました。
では、今回のフィッシング攻撃が他の攻撃より目立ったのはどのような点でしょうか。 フィッシング用の Web サイトで SSL が使われる例は珍しく、サイトの数もごく少ないのが一般的です。SSL を使うフィッシングサイトを作成するには、攻撃者が偽の SSL 証明書を作成するか、正規の証明書を攻撃してサイトの暗号を入手しなければなりません。どちらの場合も、シマンテックがこれまでに確認した限り、SSL を使うフィッシングサイトはごくまれです。今回の攻撃では、偽の SSL 証明書を使うフィッシング用 URL が 100 以上ありました。ここで利用されたのが、1 つの IP アドレスでフィッシングサイトをホスティングし、その IP アドレスを多数のドメイン名に解決するという仕組みでした。つまり、攻撃には多数の URL が使われていても、すべて 1 つの IP アドレスに解決され、同じ Web ページが表示されるということです。SSL 証明書は有効期限の過ぎたもので、発行日が 2006 年、有効期限は 2007 年の日付でした。攻撃者が暗号化されたフィッシングサイトを作成した主な意図は、正規のサイトのように見せかけ、サイトが安全であるとユーザーに信じ込ませることにあります。
このフィッシングサイトは、あるクレジットカード会社のブランドを詐称していました。スイスの顧客を標的とし、フィッシング用のページはフランス語で書かれています。アクセスしたユーザーには、大手の電子商取引ブランドのログイン情報も入力するよう求められます。つまり、攻撃者は、同じフィッシング攻撃で 2 つのブランドについて個人情報を入手しようと試みています。フィッシングサイトのホストサーバーは、米国カリフォルニア州に置かれていました。
このフィッシングサイトは、2 段階で個人情報を要求します。第 1 段階では、ユーザーの身元の確認と称して、名前、生年月日、住所、電子商取引ブランドの電子メールアドレスとパスワード、母親の旧姓を求められます。第 2 段階では、銀行名、銀行 ID、カード所有者の名前、カードの種類、カード番号、個人コード、カードの有効期限、CVV 番号といった銀行取引のデータが要求されます。要求された情報を入力すると、フィッシングサイトは空白の Web ページにリダイレクトされます。このフィッシングサイトに騙されたユーザーは、金銭の詐取に必要な情報を盗み出されてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
備考: 本ブログのための調査に協力してくれた Rohan Shah 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。