こうした手法をとることで、電子メールには、受信者にそれが正規のメッセージであると信じ込ませるだけの正確な情報が含まれるようになる。そのため、攻撃の成功率が上がる。攻撃者は、例えば銀行およびクレジットカード会社からのメールを装う場合、受信者の氏名や、実際に利用しているオンラインストアに関する情報を記載することができる。
Blue Securityの調べでは、米国で人気のあるウェブサイトの大半で、こうしたスパム/フィッシング業者による「悪質なプロファイリング」が行われる可能性があるという。さらに、オンラインストアなどを含む小規模なウェブサイトや、スポーツチームのサイト、政治団体やその他のグループのサイトも標的とされる可能性があると、Reshefは指摘している。
もっとも、Blue Securityの調査では、悪質なプロファイリングはまだそれほどまん延していないという結果が出ている。
Reshefは、ウェブサイトを運営する大手銀行などの一部の企業は、この問題を認識していると述べる。これらのサイトでは、ログイン名として電子メールアドレスを登録することが不可能になっていると、同氏は言う。またこうしたサイトは、登録やパスワード確認の際に追加的な情報を求めたり、ほかのセキュリティ対策を講じたりしているという。
eBayは、この種の攻撃に対する防御手段を持つオンライン企業の1つだ。同社のオークションサイトでは、フィッシング問題が表面化する前から、電子メールアドレスをユーザーIDとして利用することを禁止していた。また、登録やパスワードの確認には独自の保護策を取り入れていると、eBayでグローバルプライバシーに取り組む上級顧問のScott Shipmanは述べている。
「eBayのウェブサイトは、任意の電子メールアドレスやユーザーIDが、実際に登録されている有効なものかどうかといったごく単純な情報でも、権限なしには決して参照できないよう設計されている」(Shipman)
eBayでは、ユーザーが画面に間違ったIDを入力しても、そのIDの登録の有無に関わらず、同じメッセージを表示するようにしている。Shipmanはその理由を、「エラーメッセージだけでは、当該のアカウントが有効であるかどうかを判断できないようにするため」だとしている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
