共同執筆者: Avdhoot Patil
詐欺師たちにとって、クリスマスのような大きいイベントはいつでも、フィッシングサイトに新しいワナを登場させる格好のチャンスです。先日のクリスマスも例外ではなく、今回は偽の宝くじやギフトが餌として使われました。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。
1 つ目の例は、有名なゲームブランドを詐称し、ユーザーにクリスマスギフトを進呈すると称しているフィッシングサイトです。サイトには、ユーザーがこのギフトを気に入ることを期待している、ぜひゲームを楽しんでほしいと書かれています。偽ギフトを受け取るために、ユーザーはログイン情報を入力したうえに、簡単なフォームにも回答するよう求められます。
フォームで質問されるのは以下の項目です。
ギフトの選択肢は、クレジットポイント、VIP ステータス、クラブのメンバー資格、各種のバッジでした。
ログイン情報を入力してフォームにもすべて回答すると、ユーザー情報の送信を感謝する次のようなページが表示されます。この手口に乗ってフィッシングサイトにログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
銀行関係でも、多数のフィッシング攻撃が出現しました。有名な銀行になりすましたフィッシングサイトも確認されており、この偽サイトでは、宝くじの賞金が手に入ると書かれていました。提供される宝くじはクリスマスラッフル(福引き)で、偽の賞金額は 250 万ドルにものぼると謳われています。この賞金獲得の資格を得るために、ユーザーはフルネーム、メールアドレス、パスワードの入力を求められます。画面には、情報の送信後に送られてくる確認メールをチェックするよう促す注意書き(以下のスクリーンショット)も表示されます。ログイン情報を入力すると、フィッシングページは銀行の正規の Web サイトにリダイレクトされるので、ユーザーには有効な認証が実行されたように見えてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。