セキュリティベンダー各社は、フィッシング詐欺の新しい手口を相次いで報告、注意を呼びかけている。
■電話機ボタンで口座番号等を入力させる
米Cloudmarkが4月25日(以下、すべて現地時間)に報告した手口は、金融機関をかたり「口座番号と暗証番号の確認が必要」というメールを送りつけて、メールに記載された電話番号に電話をかけるよう仕向け、電話機のボタンを押して口座番号や暗証番号を入力させようというもの。米Websenseは6月23日に銀行をかたった同様の手口について警告。英Sophosも7月7日、同じやり方でPaypalをかたってクレジット番号を搾取しようとするフィッシング詐欺が確認されたとし、注意を呼びかけている。
■インターネット電話を悪用する
また、米Secure Computingは10日、コストの安いVoIP(インターネット電話)を悪用する詐欺について警告した。フィッシングのVoIP電話バージョンとして一部で「vishing(ビッシング)」と呼ばれているこの手口では、攻撃者はメールではなく電話で、「クレジット口座に問題がある」として、特定の番号に電話するよう求める。
■「ワンタイムパスワード」の認証をかいくぐる
ネットバンクが採用している「ワンタイムパスワード」の認証をかいくぐるフィッシング詐欺も報告されている。利用のたびに違うパスワードを使うため安全性が高いとされるワンタイムパスワードだが、米SANS InstituteとフィンランドF-Secureが12日に、また英Netcraftが13日に公表した手口では、攻撃者はネットバンクをかたって「不正アクセスがあった」というメールをユーザーに送り、偽のサイトへ誘導、ログインさせようとする。ユーザーが偽サイトと気づかずにパスワード等を入力すると、その情報が即座に本物のネットバンクのサイトに転送されるので、攻撃者はユーザーより先にログインしてしまう。
ユーザーの自衛策としてはまず、銀行やカード会社などの金融機関がメールや電話で口座番号や暗証番号、カード番号などの重要な情報を問い合わせることはないということを肝に銘じておきたい。さらに、これらの重要な情報をホームページから入力する場合は、「お気に入り」からページを開くか、金融機関から通知を受けている正しいアドレスを正確に入力してページを開くこと。ブラウザ右下の「錠マーク」を確認することも大切だ。
(2006/07/19 ネットセキュリティニュース)
■セキュリティベンダー各社のリリース(すべて英文)
・Cloudmark
http://www.cloudmark.com/press/releases/?release=2006-04-25-2
・Websense
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=534
・Sophos
http://www.sophos.com/pressoffice/news/articles/2006/07/paypalvox.html
・Secure Computing
http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&newsId=20060710005046&newsLang=en
・SANS Institute
http://isc.sans.org/diary.php?storyid=1478
・F-Secure
http://www.f-secure.com/weblog/archives/archive-072006.html#00000921
・Netcraft
http://news.netcraft.com/