編集部では、飛来するメールやWeb上の情報をもとに、主に国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。
8月に観測した日本国内に関係するフィッシングサイトは、国内でホストされたものが35件、国外でホストされ国内ブランド2件、国内のユーザーが検出されたFastFluxボットネットが2件の、計39件。うち1件には偽サイト本体は設置されておらず、他所に開設した偽サイトにリダイレクトする中継サイトとして使われた。フィッシングの件数は、最高値を記録した昨年8月(168件)の4分の1以下で、編集部が調査を始めた2008年7月の34件に次ぐ低水準となった。
偽サイトやリダイレクタの設置形態は、不正アクセスを受けた一般のWebサイトに設置したとみられるものが21件。ホスティングサービスを使って開設したとみられるものが10件、ウイルスに感染したユーザーのパソコンもしくは自宅のサーバーに開設したとみられるものが6件、FastFluxが2件だった。
悪用されたブランドは、PayPal(15件)、Yahoo! JAPAN(4件)、HSBC(3件)ほか15種類。国内ブランドを装ったものは、Yahoo!とPlayOnlineの2ブランド6件だった。
■お盆休みのFastFlux攻撃に国内のゾンビパソコン
ボットに感染したユーザーのパソコン(ゾンビパソコン)を操り、入れ替わり立ち替わりさまざまなブランドをかたってフィッシングやウイルス攻撃を仕掛けていた、いわゆるFastFlax攻撃は、2月を境に激減。ときおり出現するものの、すぐに閉鎖される状態が続いていた。
8月13日から始まったオンラインデータベースLexisNexisと、Bank of America Military Bankのフィッシング兼ZeuS/Zbot系ウイルスの配布(ログインさせた後にウイルスをダウンロード/実行するよう仕向ける)では、久しぶりに国内のゾンビパソコンが観測された。フィッシングに使われたドメインのいくつかは今も健在だが、8月19日を最後に国内のゾンビパソコンは検出されなくなった。ちょうどお盆休みの時期なので、帰省先などで眠っていたゾンビが、一時復活したのかも知れない。
なお、FastFluxのフィッシングは、使われているドメインやゾンビパソコンの数に関係なく、同時期に稼働している同じブランドのものを全てまとめて1件にカウントしている。たとえば、Military Bankの場合には、ユニークなドメイン5件と、ユニークなIPアドレス984件(うち国内は10件)が観測されたが、集計上は1件。一緒に動いているLexisNexisは、別のブランドなので1件、計2件という数え方だ。
■ゲーム内で誘導するPlayOnlineのフィッシング
7月末、約半年ぶりに登場したPlayOnlineのフィッシングサイトが、引き続き8月初めと月末に1件ずつ観測された。
ネット掲示板などの報告によると、いずれもオンラインゲーム「ファイナルファンタジーXI」のチャット(メッセージング)機能のひとつ「tell」を使い、GM(Game Master)になりすまして偽サイトに誘導するメッセージを送るという。
先頃のものは不正な課金があるからチェックしろという口実で、7月末と8月初めのものは賞品を受け取るようにという口実で、偽のログインページに誘導し、アカウント情報をだまし取ろうとする。偽サイトは英語だが、7月には怪しい日本語のメッセージが送られて来たという。
・フィッシング詐欺にご注意ください(PlayOnline.com)
http://www.playonline.com/ff11/polnews/news19651.shtml
・PlayOnline(プレイオンライン)を騙るフィッシング(2010/08/31)(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert456.html
・PlayOnline(プレイオンライン)を騙るフィッシング(2010/08/09)(フィッシング対策協議会)
http://www.antiphishing.jp/database/database1093.html
・PlayOnlineをかたる偽サイト(フィッシング)が出現(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/3616
(2010/09/03 ネットセキュリティニュース)