セキュリティ専門家ら、パーソナライズされたフィッシング攻撃に警鐘 - (page 2)

Joris Evers(CNET News.com)

2005-05-27 11:07

 こうした手法をとることで、電子メールには、受信者にそれが正規のメッセージであると信じ込ませるだけの正確な情報が含まれるようになる。そのため、攻撃の成功率が上がる。攻撃者は、例えば銀行およびクレジットカード会社からのメールを装う場合、受信者の氏名や、実際に利用しているオンラインストアに関する情報を記載することができる。

 Blue Securityの調べでは、米国で人気のあるウェブサイトの大半で、こうしたスパム/フィッシング業者による「悪質なプロファイリング」が行われる可能性があるという。さらに、オンラインストアなどを含む小規模なウェブサイトや、スポーツチームのサイト、政治団体やその他のグループのサイトも標的とされる可能性があると、Reshefは指摘している。

 もっとも、Blue Securityの調査では、悪質なプロファイリングはまだそれほどまん延していないという結果が出ている。

 Reshefは、ウェブサイトを運営する大手銀行などの一部の企業は、この問題を認識していると述べる。これらのサイトでは、ログイン名として電子メールアドレスを登録することが不可能になっていると、同氏は言う。またこうしたサイトは、登録やパスワード確認の際に追加的な情報を求めたり、ほかのセキュリティ対策を講じたりしているという。

 eBayは、この種の攻撃に対する防御手段を持つオンライン企業の1つだ。同社のオークションサイトでは、フィッシング問題が表面化する前から、電子メールアドレスをユーザーIDとして利用することを禁止していた。また、登録やパスワードの確認には独自の保護策を取り入れていると、eBayでグローバルプライバシーに取り組む上級顧問のScott Shipmanは述べている。

 「eBayのウェブサイトは、任意の電子メールアドレスやユーザーIDが、実際に登録されている有効なものかどうかといったごく単純な情報でも、権限なしには決して参照できないよう設計されている」(Shipman)

 eBayでは、ユーザーが画面に間違ったIDを入力しても、そのIDの登録の有無に関わらず、同じメッセージを表示するようにしている。Shipmanはその理由を、「エラーメッセージだけでは、当該のアカウントが有効であるかどうかを判断できないようにするため」だとしている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]