「捨てアド」取りを目的とした新手のフィッシング

このフィッシングメールは受信者を利用して、大量メールアドレス取得を防止するスパマー対策を回避しようとする。

[ITmedia]

　フィンランドのセキュリティ企業F-Secureは11月15日、ネットユーザーをだまして「捨てアド」登録に利用していると見られるフィッシング詐欺を報告した。

　同社はこのフィッシングに関する通報を多数の地域から受け、その中にはフィンランドの銀行サイト2件も含まれているという。

　このフィッシングメールは、受信者と同じドメインから送られてきたように見せかける。例えば、something@example.comというメールアドレスを持つユーザーには、発信元をexample.comに見せかけたメールが送られてくる。

　このメールは受信者に対し、メール内のリンクをクリックしてアカウント情報を確認するように指示する。ただしF-Secureが入手したサンプルは分かりにくく、ほとんど理解できなかったという。

　リンクをクリックすると、メインウィンドウで「本物の」Webサイトが開く。ただしそのウィンドウの前に、ゆがんだテキストを含む画像と、そのテキストをボックスに入力するよう指示するメッセージがポップアップ表示される。

　このような画像は、Webメールサービスなどで、アカウントを登録しようとしているのがプログラムではなく人間であることを確認し、自動化されたプログラムが大量のフリーアドレスを登録するのを防ぐために使われている。この手法はCAPTCHA（Completely Automated Public Turing Test To Tell Computers and Humans Apart）と呼ばれている。

　今回のケースでは、フィッシャーは受信者を利用して、CAPTCHAを回避して「捨てアド」を登録し、スパム送信に利用しようとしているようだとF-Secureは公式ブログで述べている。ただし問題のポップアップページをホスティングしていたサイトは消えたようだ。