フィッシングキット
Brozycki氏は、特定の個人や組織を識別できる情報を公開しないという取り決めを警察との間で交わしている。このため同氏は、卑劣な詐欺師をBob、詐欺に利用された金融機関をGIAC銀行と表記している。こういった取り決めにより同氏は、フィッシングキットの内容と、Bobが仲間とやり取りした電子メールの内容を閲覧できたのだった。
なじみのない読者のために書いておくと、フィッシングキットとはフィッシング詐欺用のウェブサイトを構築するために必要となるファイルすべてをまとめたアーカイブファイルのことである。同氏はフィッシングキットの分析が有効となる理由を解説している。
それ(フィッシングキット)からは、大量の情報を入手できる。このキットを展開し、PHPで記述されたそのソースコードを分析した結果、盗まれたデータの送信先となっていた電子メールアドレスを割り出せた。
Brozycki氏がGIAC銀行のフィッシングキットから発見したファイルのうち、興味深いものをいくつか紹介する。
- config.php:ホスティングサイトのURLや、盗み取った口座情報の送信先として詐欺師が使用する電子メール、詐欺に利用する金融機関の名称を設定するためのファイルである。
- index.php:ログイン情報を要求するフロントページを生成するためのファイルである。このページで適切な情報を入力し、Submitボタンをクリックすると、入力データがlogin.phpに引き渡される。
- login.php:カード番号や有効期限、セキュリティコード(カードの裏面に印刷されている数字)、暗証番号を要求するためのウェブフォームを生成するためのファイルである。
大多数の人々をだまし通せるくらいの本物と見紛うばかりの偽のウェブサイトを用いて、重要な金融口座情報の入力を促すのである。似ているのも当然というわけだ。さらにBobは、このフィッシング詐欺用ウェブサイトを本物らしく見せるため、真正なデジタル証明書が保持されているようにも見せかけている。
図11:偽物!
GIAC銀行は同行のウェブページ上に、VeriSignからのデジタル証明書の取得を示す画像を表示している。このため、Bobはこの画像をフィッシング詐欺用のウェブサイトにも表示するよう仲間に要求していた。Brozycki氏も説明しているように、これは簡単な作業ではない。
GIAC銀行はサイトのデジタル証明としてVeriSignを使用しており、ページ上でVeriSignが提供する要素を実行することで、訪問者の閲覧しているページが本物であり、かつセキュアであると訪問者側で確認できるようにしている。この詐欺では本物のVeriSign要素の代わりに、「Adobe Shockwave」によるアニメーションを使用している(図11)。これは巧みな偽装工作だと言える。さらに巧みなのは、このアニメーションが実際のロゴをキャプチャした画像ではなく、ベクタグラフィックで描画されている点だ。
電子メールのログ
Brozycki氏は警察の捜査に協力し、電子メールのログ解析を行ったものの、実際の電子メールの内容には数年間、アクセスを許されなかった(捜査の終了まで待たされたという話を思い出してほしい)。ただ、同氏はログを見るだけで、実際の電子メールから詐欺の実行に関する大量の情報が取得できると確信していたという。
捜査終了後、電子メールへのアクセスを許された同氏は、興味深い点を見つけ出した。Bobは実質的な作業をほとんど行っていなかったのだ。彼はまとめ役であり、複数のフィッシング詐欺を同時に実行し、それぞれは5つの異なる金融機関を利用していた。またBobは、作業を以下のように分割していた。
- 被害者候補と、彼らの使用している金融機関を洗い出す作業。これは最初に必要となる重要なステップである。
- 共通の金融機関を利用している、被害者候補のアドレス一覧を取得する作業。
- それぞれの被害者候補にフィッシングメールを送信するためのメール配信作業。
- フィッシングキットをひそかにインストールできる、不法侵入可能なウェブサーバの確保作業。
- 成功の機会を最大化するために必要不可欠となる、フィッシングキットの作成と改良作業。
- 盗み取ったカードの口座情報を資金化し、Bobや詐欺行為に関与したサードパーティー全員に分配する作業。
これでフィッシング詐欺行為を成功させるうえで必要なものと、詐欺師たちが金儲けのためにどこまでのことをするのかが分かったはずだ。
