セキュリティ専門家ら、パーソナライズされたフィッシング攻撃に警鐘

Joris Evers(CNET News.com) 2005年05月27日 11時07分

  • このエントリーをはてなブックマークに追加

 スパム業者やフィッシング業者が、より効率的な攻撃を仕掛けるために、ターゲットとなり得るユーザーの情報を収集し始めている。

 セキュリティ企業Blue Securityが今週発表した調査レポートによると、攻撃者は、パスワード確認や登録のために電子メールアドレスを利用しているウェブサイトを標的としているという。そのため、こうしたサイトから個人情報が流出する可能性があると、同社は言う。

 同レポートには、スパム/フィッシング業者が、ウェブサイトの登録やパスワード確認用のツールを利用して、何千もの電子メールアドレスをチェックしていると記されている。多くのオンライン企業は、みずからのサイトに新たな電子メールが登録された場合、所定のメッセージを登録向けに表示する。このことから、攻撃者は任意のアドレスが正規の顧客のものかどうかを知ることができるのである。

 攻撃者はこうして多数のウェブサイトから情報を収集し、それをもとに悪質な電子メールをターゲットに送りつける。インターネットユーザーにとって、こうした偽のメールや詐欺に関係するメッセージを、攻撃者から送りつけられたものだと見分けるのは容易ではない。また専門家は、カスタマイズされたメッセージは、スパムフィルターでも検知が困難だと指摘している。

 Anti-Phishing Working Group会長のDave Jevansは、「このところ、攻撃者は、攻撃対象の狙いを絞るようになってきた。また個人に送りつけられるメールもパーソナライズされたものになっている」と述べている。近頃の詐欺メールには、氏名や電子メールアドレスはもとより、受信者に関する情報も記載されるようになっているという。

 フィッシングとは、ユーザーネームやパスワード、クレジットカード番号といった機密性の高い情報を、メール受信者から盗み出そうとする行為。盗まれた情報は、第三者に売却されるか、なりすましに悪用される。通常のフィッシング攻撃には、スパムメールと、正規のサイトに見せかけられた偽のウェブページが用いられる。

 攻撃者は通常、みずから作成したり、購入したり、あるいは、収集ツールを使いオンラインで集めたりした電子メールアドレスのリストを所有している。

 登録/パスワード確認用の電子メールが悪用されやすい理由は、企業によるユーザーへの回答方法にある。オンライン企業の大半では、自社のウェブサイトに電子メールが登録されると、「このアドレスはすでに登録済みです」などのような定型的なメッセージをユーザーに返している。攻撃者にとって、こうしたメッセージは、そこに記載されたアドレスが正規顧客のものであるという証拠になるのだ。

 サイバー犯罪者らは、任意の電子メールアドレスが登録されているウェブサイトを参照することで、そのアドレスのユーザーの性別や性的な嗜好、政治思想、所在地、趣味、買い物をしたことのあるオンラインストアといった情報を探り出していると、Blue SecurityのCEOであるEran Reshefは警鐘を鳴らしている。

 「自分が登録したことのあるあらゆるウェブサイトを、誰かに把握されていると想像してみてほしい。そこから人は何を推測することができるだろうか。実際のところ、こうした情報すべてを1つにすると、任意の人物に関する断片的な事実どころか、非常に詳細なプロフィールができあがるのだ」(Reshef)

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化