速報
» 2005年12月01日 14時02分 UPDATE

政府サイトの設定ミスを突いたフィッシング

「税金の還付手続きをしてください」――米内国歳入庁を名乗るフィッシングメールには本物のURLが書かれているが、偽サイトに誘導されてしまう。

[ITmedia]

 セキュリティ企業Sophosは11月30日、米内国歳入庁(IRS)を装って「税金を還付する」と称したメールを送り、個人情報を盗もうとするフィッシング詐欺に警告を発した。

 フィッシング詐欺犯は、本物のIRSサイトのセキュリティ設定ミスを利用しているとSophosは指摘している。このミスを利用すると、ビジターを偽サイトにリダイレクトすることができる。

 このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイトで手続きをするようにと受信者に伝えている。より本物らしく見せるため、このメールはメール内のURLを直接クリックするのではなく、ブラウザのアドレスバーにコピー&ペーストするよう指示している。このURLは本物のIRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。

ah_irs.jpg URLをコピー&ペーストするよう指示(画像:Sophos)

 偽のサイトではクレジットカード情報、社会保障番号などの個人情報を入力するよう求められる。

ah_irsweb.jpg IRSを装う偽サイト(画像:Sophos)

 「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、グラハム・クルーリー氏は語る。「残念なことに、このサイトは、フィッシング詐欺犯がビジターをリダイレクトできるように構成されている。詐欺犯はサイトをハッキングする必要はなかった。サイトにずっとこの脆弱性があったのだ」

 Sophosはユーザーに対し、一方的に送られてきたメールには注意するよう呼びかけ、この種のオンライン詐欺から身を守る方法を公開している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -