1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. フィッシング詐欺サイトを自動作成するツール

フィッシング詐欺サイトを自動作成するツール

米RSA社のセキュリティ専門家が、フィッシングサイトを自動作成するツールを確認、アンダーグラウンドではオンラインショップを通じて入手が可能であるというニュースが報じられました。

RSA、新手のフィッシング詐欺サイト作成ツールを確認(CNET Japan)

 今回発見された新しいツールを利用すると、詐欺師は偽装するサイトや、偽装サイトの設置場所を指定したりするだけでよい。それだけで、PHPスクリプト言語による動的なウェブページが作成される。詐欺師は、侵入したウェブサーバや無料ウェブサーバを利用してこのページをインターネットに公開し、スパムメールやウェブページのリンクなどを使って被害者をサイトに誘導する。

 実在するオンラインバンクなど信用あるサイトに似せて静的なウェブページを作成する従来のウェブページとは異なり、このツールで作成した動的なウェブページは、偽装対象とするサイトの最新のページを取り込み、偽装サイトで表示する。Hinrichsen氏によると、偽装者はユーザーが入力した情報を傍受することができるという。

引用記事によると、今回確認されたツールの特徴は以下のようです。

・犯罪者が偽サイトを簡易に作成できる(偽装対象のサイトや設置場所を指定するだけ)
・動的にページを作成する(偽装対象のサイトの最新のページを取り込んで、偽サイトに表示する)
・犯罪者はユーザーが入力した情報を傍受することができる

上記記事によれば、今回のツールで作成された偽サイト上で、ユーザーが個人情報等を入力すると、当該サイトが設置されたサーバーに自動的に(入力情報を)傍受されてしまう可能性があるとのことです。

偽装サイトは、本来のサイトの最新のページが表示され、ユーザーは偽サイトに訪問した後に、“正しい”サイトにアクセスするので、最悪の場合、自分がフィッシングに遭ったことに気づかない可能性もあるそうです。

フィッシングは、ネット上の詐欺行為で、金融機関などの「信用力のある」サイトを偽装し、本物そっくりのサイトにユーザーを誘導して、クレジットカードの番号や金融機関の暗証番号などの個人情報を不正に詐取するというものです。代表的な手口は、スパムメールを配信し、そこから偽物のサイトに誘導してユーザーに個人情報を入力させるというものでした。最近では、メールの添付ファイルにワームやスパイウエアを仕込んで、本人が知らないうちにIDやパスワードを収集するという手口も、数多く報告されています。

個人レベルでのフィッシング対応策としては、

・ポップアップウィンドウで入力画面が現れたら、安易に信頼してはいけない
・心当たりのないメールやインスタントメッセージのファイルを不用意に開かない
・PCのセキュリティ対策(OSの更新、ウイルスソフト)の実施
・メールで個人情報を送信しない
・個人情報を入力する際は、そのページのURL、SSLの鍵マークなどの目視確認

などがあります。こうした詐欺の手口はますます進化、巧妙化しているので、我々ユーザーは十分に注意が必要です。

関連キーワード:

スパイウエア

スパム

フィッシング

ワーム

自動生成