最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆児童ポルノ~わが子の裸を売った母親に有罪判決/同種犯罪での逮捕相次ぐ(2009/11/20) | メイン | ◆Internet Explorer 6/7に未修整の脆弱性、マイクロソフトがアドバイザリ(2009/11/24) »

2009/11/24

◆Yahoo! JAPANのフィッシング、今月も大量発生中~釣られないためには(2009/11/24)

  Yahoo!オークションやYahoo!カスタマーセンターなどと称するメールで偽のサイトに誘導し、個人情報やクレジットカード情報をだまし取ろうとするフィッシングが、今月も引き続き大量発生している。

 フリーサーバーを悪用したYahoo!の偽サイトは、閉鎖する後から次々と新設され、イタチごっこがえんえんと続いている。過去半年間に設置されたYahoo! JAPANの偽サイトは、編集部が把握しているだけでも200近く。実際には、その数倍から十数倍の数の偽サイトが暗躍し、多くのユーザーが被害にあっていると思われる。フィッシングに釣られた末、クレジットカードが不正に使われたとの実害報告も、ネット上にいくつか書き込まれている。

 Yahoo! JAPANをかたるフィッシングメールは、「重要なお知らせ」などと称して会員情報の更新を促す。メールに記載されたリンクをクリックすると、「Yahoo!プレミアム」や「Yahoo!オークション」のロゴをあしらった偽のサイトに誘導され、氏名や住所などの個人情報やクレジットカード情報などを入力させようとする。

 フィッシングメールやサイトには、微妙に異なるいくつかのパターンがあり、編集部では複数の攻撃者が仕掛けているものとみている。今月は、半年にわたってえんえんとフィッシングを繰り返している攻撃者のほか、計3~4グループが交錯しているようで、下記トピックスにある「Yahoo! JAPANのフィッシング」の偽サイト全3タイプと、タイプ(C)の亜種が入り乱れた状態。とくにこの連休には、3グループがそれぞれ複数の偽サイトを設置してフィッシングメールをばらまいたようで、編集部で確認できただけでも同時に十数件の偽サイトが稼働していた。

■Yahoo!フィッシングの特徴

 偽サイトに誘導するフィッシングメールの中でも最も多いのが、「【重要なお知らせです】 」という件名で届く「Yahoo! Auction」の案内を装ったもの。「更新が行われない場合、出品制限等の不具合を起こす場合もあります」という文言で会員情報の更新を促し、偽サイトに誘導するのが特徴だ。
 なぜ「Yahoo!オークション」を装うのか? 同サービスの機能をフルに利用するためには、有料の「Yahoo!プレミアム」への会員登録が必須で、それにはクレジットカードまたは銀行口座の情報入力を伴うからだ。いったんプレミアム会員に登録すれば、それ以降は自動的に更新されるため、個人情報入力を伴う更新手続きが必要になることはないのだが、知らないと騙されてしまう。
 Yahoo! JAPANのカスタマーセンターを装い、「Yahoo!カスタマーセンターより重要なおしらせ」や「ヤフージャパンIDに関する大切なお知らせ」などの件名で届くフィッシングメールは、「Yahoo!オークションを今後も継続してご利用いただくためには、Yahoo! JAPAN ID ユーザーアカウント継続手続きが必要です」との文言で、「ユーザーアカウント継続手続きページ」と称したリンクをクリックさせようとする。この「Yahoo! JAPAN ID」は更新期限などなく継続利用できるもので、こちらも手続きなど存在しない。
 ところが、そういった事情を知らないユーザーが多いようで、手続きしないとサービスが利用できなくなってしまうと思い込み、あわててメールに記載されたリンクをクリックしてしまうようだ。

■フィッシング被害にあわないためには

 Yahoo! JAPANの場合、これまでに述べたように、会員情報の更新やアカウントの継続手続きは必要ない。したがって、更新や継続の手続きを促すメールが届いても、焦って応じないようにしたい。フィッシングに限らず、あなたを騙そうとする人たちは、問題が起こると言って焦らせ、あわてて提示した解決策を実行させるよう仕向ける。冷静さを失ってしまうと、詐欺師の術中にまんまとはまってしまうのだ。まともな企業やサービスは、メールで個人情報を問い合わせたり、入力ページに誘導するようなことはしないということを、覚えておいていただきたい。リンクのクリック先が個人情報の入力ページやログインページだったら、それは詐欺師の罠である。

 Webサイトで個人情報やカード情報などを入力するページを開いた際には、入力前に必ず、ブラウザのステータスバーなどにSSL通信が行われていることを示す錠マークが表示されているかどうかを確認することを心掛けたい。錠マークが表示されていないページでは、重要な情報は絶対に入力しないこと。錠マークが表示されていたら、念のためにURLのドメインが正しいかどうかも確認しよう。これらを守れば、フィッシングに釣られるようなことはない。

(2009/11/24 ネットセキュリティニュース)

■そのメール本当にYahoo! JAPAN?(Yahoo! JAPAN)
http://security.yahoo.co.jp/qa/index.html

投稿情報: 10:24 |

|