2011 年 2 月 22 日、ニュージーランドのクライストチャーチはマグニチュード 6.3 という大地震によって壊滅的な被害を受けました。当局の発表によれば、この地震による死者は 75 人に達し、その数は今後も増える見込みです。何千人もの人々が住む家を失い、今も捜索活動が続いています。詐欺師たちはいつものように、寄付金を募るスパムメールを送信してこの惨事を悪用しようとしています。この 1 月にも、セハナ洪水の被災者を救うと詐称して募金を求める同様の手口が使われたばかりです。
このフィッシングサイトは、ニュージーランド赤十字社の Web サイトを詐称し、ユーザーに支援を求めます。はじめに地震の詳報を伝え、クライストチャーチにおける被害の甚大さを訴えたうえで、寄付金をオンラインで安全に送信する方法が詳しく説明されています。また、オンラインで寄付を行うと、税務処理に必要な領収証が電子メールで送信されるという注意書きもあります。選択できるクレジットカードは 3 種類用意されていました。 寄付金を送るために、ユーザーは特定の個人情報を入力するよう求められます。1 番目のフィールドは、寄付金の名目を選択するドロップダウンメニューです。「New Zealand Earthquake 2011(2011 年のニュージーランド大地震)」、「Annual Appeal 2011(2011 年分の年間寄付金)」、「Australian Floods Fund(オーストラリア大洪水の支援基金)」、「Landmine Appeal(地雷廃絶キャンペーン)」、「Pacific Disaster Preparedness Fund(太平洋災害準備基金)」、「General Fund Appeal(一般基金への寄付)」などの目的が並んでいます。 ここで要求される個人情報は、電子メールアドレス、住所、クレジットカード番号と 3 桁のセキュリティ番号、カードの有効期限、4 桁の PIN コード、運転免許証番号、生年月日などです。必要な情報を入力すると、Web ページは赤十字社の正規サイトにリダイレクトされます。このフィッシングサイトのホストサーバーは、オーストリアのウィーンに置かれていました。 インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。 • 電子メールメッセージの中の疑わしいリンクはクリックしない。 • 電子メールに返信するときに個人情報を記述しない。 • ポップアップ画面に個人情報を入力しない。 • Norton Internet Security 2011 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。
備考: このブログの共同執筆者である Ashish Diwakar 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。