最近行われた、倫理的フィッシングに関する実験では、Bill Gates氏から送られたLinkedInの招待メールを偽造していたが、この実験ではテスト対象となったすべてのアンチスパムフィルタを出し抜くことに成功していた。
この実験は、小規模なスピアフィッシング攻撃がアンチスパムフィルタを迂回することができることを示しており、ユーザーが今後もフィッシング詐欺のメールと関わっていかなくてはならないということが再び証明された。
使用された手法は次のようなものだ。
このシナリオでは、LinkedInからの招待メールが使われており、これはBill Gates氏のネットワークに招待するという同氏からのメールだった。LinkedInが選ばれたのは、アベイラビリティが高いことと、多くの企業役員がこのサービスを認知しているという事実によるものだ。LinkedInを選択したのは、LinkedInのメールがほとんどの既存の電子メールシステムで識別されており、メールボックスに届く可能性が高いと思われたからでもあった。HTMLのソースコード中に埋め込まれていたフィッシングのリンクは、以下のようなものだった。
フィッシングに使われたサイトは、LinkeInのサインインページを元にしたものだ。ただし、フォームの振る舞いが変更されており、ユーザーはわれわれのサイト上のそれに続くページにリダイレクトされる。今回の調査では、ユーザー名やパスワードは収集されなかった。対象となったすべてのユーザーにはフィッシングメールの送信前に接触が行われ、ユーザーはBill Gates氏からのLinkedInの招待メールが来ることを予期していた。
倫理的なフィッシングサービスを提供しているPhishMe.comが2009年3月に実施した同様の調査では、6万9000人の従業員に対して行われた32件のフィッシングシナリオをもとに、ユーザーは秘密情報を要求されるメールよりも、アクティブリンクのクリックを求められるメールの方が警戒しないと指摘している。この情報はPhishCampでも引用され、クライアントサイドの攻撃方法も使用する既知のフィッシングサイトやスケアウェアのサイトに似た、混合型の脅威をもたらす可能性があるものとして紹介された。
CAPTCHA解読サービスベンダーの規模の経済によって、Gmail、Yahoo Mail、Hotmailの有効なアカウントの平均的な価格は大きく下がっており、これらのアカウントを利用するためにスパム業者が自由に使えるツールも豊富に出回っている現状では、いずれすべてのスパム業者がすでに確立されている無料電子メールサービスプロバイダのDomainKeysの信頼を悪用し始めることは明らかだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
