寄稿: Ayub Khan
フィッシング詐欺師にとって、大きなイベントはエンドユーザーを攻撃する格好のチャンスであり、毎年クリスマスは新しいフィッシングのワナを仕掛けるために悪用されています。昨年のクリスマスシーズンには、米国に本拠を置く大手の決済システムに偽装したフィッシングサイトが現れました。このフィッシングにはタイポスクワッティングドメインが使われ、オランダにあるサーバーでホストされていました。
フィッシングサイトではまず、抽選で現金 400 ドルが当たったという通知が表示されます。毎年クリスマス恒例で 10 人が当選し、そのうちの 1 人に選ばれたというのです。この賞金を受け取るためには、電子メールで受け取った確認コードを入力しなければなりません。フィッシングサイトで使われている英文はお粗末で、本文中には "recieve" というスペルミスもあります。
図 1. 確認コードが要求される
別のフィッシングページでは、決済システムのアカウントで利用可能額が 2 倍になる賞に当選したという通知が表示されます。この賞を受け取るための手続きも最初の例と似ており、電子メールで受け取った確認コードを入力するよう求められます。有効なアカウントであることを保証するために 1 セントの税金が差し引かれるとも書かれています。そして、当選の権利は最初の電子メールを受信してから 24 時間後に失効し、アカウントの利用可能額は税金の支払い確認後に 2 倍になると謳われています。
図 2. 確認コードが要求される
同じようなフィッシングのエサが、アンケート形式のコンテストという形で使われた例もあります。この詐欺で謳われている賞金は、1 等が 1,000 ドル、2 等が 500 ドル、3 等が 100 ドルです。フィッシング用ページに書かれていたアンケート項目は以下のとおりです。
回答を選んで送信すると、フィッシングサイトから応募確認ページにリダイレクトされます。1 セントの確認手数料を支払った時点でユーザーはコンテスト参加者として登録されることになっており、コンテストの勝者が告知される日付も明記されています。このフィッシングサイトに騙されたユーザーは、金銭の詐取に必要な情報を盗み出されてしまいます。
図 3. コンテストのアンケートページ
図 4. アンケートの応募確認
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。