フィッシャーもSSL証明書を取得する、SANSが注意呼び掛け

米SANSは、実在する金融機関と似かよったドメイン名を用意し、さらにそのドメイン名のサーバ証明書を取得し仕掛けられるフィッシング詐欺に注意を呼びかけた。

» 2006年02月14日 17時40分 公開
[高橋睦美,ITmedia]

 米SANSは2月13日、実在する金融機関と似かよったドメイン名を用意するだけでなく、そのドメイン名向けのサーバ証明書を取得してフィッシング詐欺が仕掛けられていることを踏まえ、注意を呼びかけた。

 これまでもしばしば、正規の企業名/サービス名に似せたドメイン名を用意し、そこにユーザーを呼び寄せる手口が報告されてきた。

 SANSが注意を呼びかけているフィッシングサイトも同様に、いかにもMountain America Credit Unionの名前らしく見せかけたドメイン名「www.mountain-america.net」を用意し、ユーザーを騙そうとしている。今回の手口で特筆すべきは、さらにこのドメイン名に対するサーバ証明書を取得し、実在性や信頼性のある組織のWebサイトに見せかけようとしている点だ。このため、正しいドメイン名をユーザーが記憶していない限り見破るのは困難だ。

 フィッシング詐欺を見破る手段の1つとして、そのWebサイトのURLが正しいかどうかを確認するとともに、Webブラウザの右下に「鍵」アイコンが表示されているかをチェックしてSSLによる暗号化がなされているか、エラーが出ていないかを確認することが挙げられる。しかし、たとえSSL暗号化がなされていたとしても、肝心のアドレスが正しいものでなければ意味がない。今回報告されたフィッシング詐欺はその点を突いたものだ。

 過去には、電子メールの送信元を確認するSenderIDなどの送信者ドメイン認証の仕組みが、フィッシングメールを見破る手段の1つとして注目されたが、フィッシャー側も同様に送信者ドメイン認証技術を利用できてしまう点が弱点として指摘された。同様に、信頼の輪に基づくSSLの仕組みも、フィッシャーに悪用されてしまうケースが生じてしまった。

 多くの企業は往々にして、サービスごとに複数のドメイン名を用意し、しかも電子メールでURLを告知することが少なくない。このため、突然紛らわしいドメイン名のWebサイトが案内されてきても、ユーザーがそれを信頼し、アクセスする可能性は高い。SANSはこの危険性を踏まえ、こうした事柄を「ユーザーを危険にさらす行為だ」と指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ