寄稿: Avdhoot Patil
ソーシャルメディアは、フィッシング詐欺師が個人情報を盗み出す標的として一般的になりました。そして、今やフィッシング詐欺師は、ソーシャルネットワークのフィッシングサイトを使って金銭を詐取することを狙っています。2012 年 11 月には、人気の高いソーシャルネットワークサイトを詐称し、ユーザーセキュリティの向上を図るためと称して口座情報の入力を求めるフィッシングサイトが現れました。このサイトのホストとして、無料の Web ホスティングサイトが利用されていました。
フィッシングサイトには、このソーシャルネットワークサイトでセキュリティ対策の改善を行ったため、ユーザーはセキュリティチェックを完了して個人情報を確認する必要がある、と書かれています。[Continue]ボタンをクリックすると、ユーザーは個人情報の入力を要求されます。
要求される個人情報は以下のとおりです。
- 姓
- 名
- 電子メールアドレス
- パスワード
- 国/地域
- 性別
- 生年月日
続いて表示されるフィッシングページでは、Web メールのアドレスとパスワード、セキュリティ用の秘密の質問に対する答えを入力するよう求められます。Web メールの確認が必要なのは、不明な場所からログインしたときにユーザーの ID を保護するためであると説明されます。ユーザーの信頼を得るために、万一アカウントに侵入があった場合にはユーザーに通知されるとも書かれています。
図 1.電子メールアドレスの確認とセキュリティチェック
図 2.個人情報が要求される
図 3.電子メールアドレスとパスワードが要求される
図 4.セキュリティ用の秘密の質問が要求される
要求された情報を入力すると、支払い確認を完了するために銀行の口座情報を入力するよう求められます。ユーザーの疑惑を払拭するために、支払い確認で必要なのはカードの最初の 6 桁だけであり、すべてのカード情報はユーザーがクレジットを購入するときにのみ必要になると説明されます。6 桁の番号を入力すると、フィッシングページは 2 番目の支払い確認ページにリダイレクトされます。このフィッシングページでも同じメッセージが表示されますが、今度は完全なカード情報が要求され、取引を承認するために、またはアプリケーションページからクレジットを購入するためにときどき詳細情報が必要になるという説明が続きます。
要求されるカード情報は以下のとおりです。
- 姓
- 名
- クレジットカード番号
- カードの種類
- 有効期限
- セキュリティコード
- 請求先住所
- 市町
- 州/省/県/区
- 郵便番号
- 国/地域
この手口に乗ってフィッシングサイトに個人情報を入力したユーザーは、その情報を盗まれ、金銭詐取に使われてしまいます。
図 5.カード番号が要求される
図 6.カードの詳細情報が要求される
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
- 電子メールメッセージの中の疑わしいリンクはクリックしない。
- 電子メールに返信するときに個人情報を記述しない。
- ポップアップページやポップアップ画面に個人情報を入力しない。
- 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
- ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。