フィッシング詐欺はソーシャル型からステルス型に進化 | RBB TODAY

フィッシング詐欺はソーシャル型からステルス型に進化

エンタープライズ その他

 銀行などにそっくりなWebサイトに個人情報を入力させることでパスワードなどを搾取する「フィッシング詐欺」だが、このような“ソーシャル型”から“ステルス型”への移行が始まっている。Anti-Phising Workng GroupのPeter Cassidy氏によるものだ。
  •  銀行などにそっくりなWebサイトに個人情報を入力させることでパスワードなどを搾取する「フィッシング詐欺」だが、このような“ソーシャル型”から“ステルス型”への移行が始まっている。Anti-Phising Workng GroupのPeter Cassidy氏によるものだ。
 銀行などにそっくりなWebサイトに個人情報を入力させることでパスワードなどを搾取する「フィッシング詐欺」だが、このような“ソーシャル型”から“ステルス型”への移行が始まっている。Anti-Phising Workng GroupのPeter Cassidy氏によるものだ。

 このステルス型とは、自動的にユーザの個人情報を盗み出す手法。たとえば、注文の確認メールを装いWebサイトに誘導。ここで、悪意のあるJavaScriptが実行され、ユーザに気づかれないうちに、キーロガーをダウンロードさせ個人情報を収集するといのがそれだ。

 そのため、「ユーザをだましたり、ユーザを介在させることが不要になる。今後はテクニカルステルス攻撃がフィッシングの主流になる」と警告している。また、ソーシャル型と比較すると「大量のシステムに感染して攻撃ができる」と規模が大きくなることも示唆している。

 また、イギリスではhostsファイルを書き換えるという手法でフィッシングを行った事件があったという。これは、銀行の顧客が電子メールを介してウイルスに感染し、hostsファイルが書き換えられた。これにより、Webでの通信が犯人のProxyサーバを経由し、情報を搾取できるようになっていたという。

 このようにフィッシング詐欺は、巧妙化、複雑化、ステルス化(ユーザに見えにくい)の方向に進化している。

 フィッシング詐欺は、銀行、オンラインショッピング、クレジットカードなどインターネット上で個人情報をやる取りする企業が開設しているWebサイトが模倣され行われる可能性がある。しかし、「金融サービスを集中攻撃している」のが現状だ。具体的には、「2004年10月までは、金融サービスを対象にしていたフィッシングは全体の73%だったが、12月になると85%にまで増加した」という。
《安達崇徳》

特集

page top