ITmedia NEWS > 速報 >

銀行を襲う新たなフィッシング攻撃、「クロスフレーム」スクリプティング

» 2005年03月22日 09時16分 公開
[IDG Japan]
IDG

 正規の銀行のWebサイト上のフレームを乗っ取ろうとする攻撃が発見され、フィッシング攻撃における革新のスピードが浮き彫りになっている。

 この攻撃は先週、英セキュリティ企業Netcraftによって発見された。同社はユーザーコミュニティーからの報告を利用して、このような新しい形の攻撃を追跡している。この攻撃の標的は、米Charter One Bankのオンラインログインだった。

 偽のサイトによってページ全体を乗っ取る従来のクロススクリプティングによる攻撃とは対照的に、この新しい「クロスフレーム」スクリプティングは本物のWebページ上にコンテンツを「注入」し、検出を極めて難しくできる。この手口は、ほかの点では正規のcharterone.comに見えるサイトの下部に、フレームへのリンクを追加する。これが無効と判断されることはない。

 フィッシングメールのリンクをたどってこの攻撃を受けたサイトにアクセスすると、本物のように見えるWebサイトが表示され、その中には偽の「アカウント更新」フォームが埋め込まれている。

 この手口にだまされた被害者が出たという徴候はないが、フォームに詳細なログイン情報を入力すると、詐欺に使える十分な情報をフィッシャーに渡してしまうことになる。このような攻撃は特定の銀行のサイトへの誘導が必要で、必ずしもすべての銀行のサイトで可能というわけではない。

 とは言え、こうした大胆な攻撃が実行可能ということは、フィッシャーの創造性のレベルについてある程度の洞察をもたらしてくれる。

 Dow Jonesのコラムニスト、ジェレミー・ワグスタッフ氏はセキュリティBlogの中で、Charter One Bankのセキュリティホールは数日中に修正されたと思われると記している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.