米EMCのセキュリティ部門である米RSAは現地時間10日、簡単にフィッシングサイトを作ることができる「フィッシングキット」がオンラインで販売、使用されていると発表した。
同社によると、このツールを使えば、オンラインバンクやショッピングサイトなど、偽装したいウェブサイトのページを丸ごとインポートしてフィッシングサイトを作ることができる。また、このツール1つで、どんなウェブサイトからでも偽サイトを作成できるという。
同ツールで作成された偽サイトは、詐欺の被害者と正規サイトとの通信間に割り込む形で置かれる。これは「マン・イン・ザ・ミドル・アタック(中間者攻撃)」という手口で、フィッシングメール等で偽サイトに誘導された被害者は、正規のサイトから偽サイト上にインポートされたコンテンツとやり取りをすることになる。言い換えると、偽サイトは、被害者からのリクエストを受け取って正規サイトに渡し、正規サイトから返ってきた結果を自らに表示して被害者へ渡す。
この手口を使うと、詐欺師はリアルタイムで被害者のIDやパスワードなどの個人情報を入手することができる。また、正規のサイトに対し、偽サイトが被害者の代理としてログインしている状態になるので、通信データを改ざんして不正送金などを行うことも可能になってしまう。
同社は、金融機関がオンラインセキュリティを強化するのに伴って、詐欺師も情報や資産を盗む新たな方法を模索していると指摘している。また、今回のような手口が今後1年から1年半の間にさらに広まるものと予想している。
(2007/01/15 ネットセキュリティニュース)
■ユニバーサルな中間者攻撃(マン・イン・ザ・ミドル)フィッシング・キットを新たに発見(RSAセキュリティ)
http://www.rsasecurity.co.jp/news/data/20070110.html