　Symantecでは「クローラー」というおとりツールを使ってネットを巡回し、攻撃コードを仕掛けた悪質なWebページを探し出している。攻撃コードの多くは、発見・修正されてからかなり時間がたった脆弱性を突いたものだが、そのようなレガシー攻撃に混じって、このほどQuickTimeとWinZipの脆弱性を突いた攻撃コードが新たに見つかった。

　これらコードは、金融機関Halifax Onlineを装った偽サイトで5月8日に見つかり、サイトに仕掛けられたJavaScriptに含まれていたという。

　QuickTimeの脆弱性は今年1月に報告されたもの。WinZipの脆弱性は2006年11月に発覚・修正された。いずれもコンセプト実証コードは公開されていたが、Symantecによれば、これまで実際に悪用されたという報告はなかった。

　WinZipのようなアプリケーションは、自動更新されるアプリケーションと違い、プログラムが最新の状態になっている確率が低い。このため攻撃者にとっては有利だとSymantecは解説する。

　フィッシング攻撃では詐欺メールの手口も巧妙化していると同社は報告。ユーザーを信頼させるため、断片的な個人情報やコンテキスト情報を盛り込んだ詐欺メールが出現しているという。

　こうした攻撃では、攻撃者が事前に公開文書の検索やアンダーグラウンドの情報売買、企業データベースへの侵入などを通じ、特定の人物に関する個人情報を入手。銀行などを装った詐欺メールに受信者の名前や住所、電話番号を記載し、相手を信用させる。

　インディアナ大学の研究チームでは、友人から届いたように見せ掛けたメールでフィッシングサイトを閲覧させるコンテキスト認識フィッシングの実験を実施。通常のフィッシングの成功率が16％だったのに対し、コンテキスト攻撃の成功率は72％に上ったという。