寄稿: Sandeep Ingale
こと金融機関について言えば、基本的なセキュリティ対策(ベストプラクティス)を知ることは、すべての顧客の持つ権利です。多くの金融機関はこういった情報を Web サイトに掲載しており、顧客が安全を保ちつつサービスを十分に利用するための方法を伝えています。しかし皮肉なことに、顧客を保護するための案内であるはずの、こうした Web ページがフィッシング詐欺師に模倣され、ユーザーを欺いて個人情報を引き出す目的に利用されています。
3 月にシマンテックが発見したフィッシングサイトは、有名なクレジットカード会社に偽装し、セキュリティ強化のためと称してユーザーの個人情報を要求するものでした。正規のサイトがこのような理由で個人情報を要求することは絶対にありません。その点を忘れないようにしてください。
このフィッシングサイトは、ユーザーのカードを有効化してセキュリティを強化すると称して、3 段階の手順に従うよう指示します。第 1 段階では、ユーザーの個人情報とクレジットカード情報を入力するよう求められます。個人情報として要求されるのは、ユーザーの名前、生年月日、現住所、電話番号、電子メールアドレスなどで、クレジットカード情報として要求されるのは、銀行名、カード記載の名義、カード番号、カードの有効期限、カードの確認コードなどです。
図 1. 個人情報とクレジットカード情報を要求される
第 2 段階では、ユーザーの社会保障番号、3D セキュアパスワード、ATM の暗証番号を要求されます。
図 2. 社会保障番号、3D セキュアパスワード、ATM の暗証番号を要求される
最後に、オンライン送金サービスを選択し、そのサービスに使っている電子メールアドレスとパスワードを入力するよう求められます。
図 3. オンライン送金サービスのログイン情報を要求される
要求された情報の入力が終わると、送信した情報がフィッシングサイトで確認され、安全にカードを使えるようになったというメッセージが表示されます。
図 4. 送信した情報の確認
このフィッシングサイトに騙されたユーザーは、各種情報を盗まれ、その情報は高い確率で金銭の詐取に悪用されてしまいます。
フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。