画像製の偽アドレスバーを使った新手のPhishing詐欺
タレコミ by jbeef
jbeef 曰く、
日経IT Proに『“phishing”の新たな手口が出現,「今まで見たことがない」――業界団体』という記事が出ている。phishing詐欺とは、実在のECサイトや銀行を詐称したメールをばら撒いて、偽のWebサイトへのアクセスを誘導し、クレジットカード番号や、本物サイト用のパスワード等を入力させて盗むというもので、架空請求詐欺のネット版巧妙化手口といえる。昨年から英国や米国で大流行していると報道されているが、日本でもいくらか発生しているようで、Yahoo! JAPANが「不正な個人情報取得メールに関するご注意」という通知を出している。
こうした詐欺に騙されないためには、受信したメールを全く信用せず、アクセスした先のWebページで、ブラウザのアドレスバーを見て、表示中のサイトが確かに自分の知っている本物サイトのドメイン名と一致するかを確かめることが肝要だ。アドレスバーはセキュリティ上重要な部分で、そこに偽のURLを表示できるような方法が見つかれば、セキュリティホールとして扱われて修正されてきている(IEにURLを偽装できる脆弱性(2003年12月)、重大な脆弱性に対応したIEの緊急パッチリリース(2004年2月)など参照)。
そして今回の新たな手口というのは、phishing詐欺メールを集めているサイトMillerSimles.co.ukの記事「Browser Address Bar Spoofing - a new tool in a Phisher's box of tricks」によれば、アクティブスクリプトを使ってアドレスバーを出さないウィンドウを開いた上で、そこにインライン画像とテキスト入力欄を使った本物そっくりのアドレスバーを表示するという仕掛けのようだ。実例としてeBayの事例とCitibankの事例が掲載されている。
ユーザに可能な自衛策は、右クリックのメニューでプロパティを表示し、見ているページの本当のURLを確認することだろうか。右クリックを禁止しているようなサイトは偽と思ったほうがよい。一方、ブラウザメーカーはこれにどう対処できるだろうか。また、携帯電話にはそもそもアドレスバーが存在しないが、このままで大丈夫なのだろうか。