ウイルスの手法を利用するフィッシャーたち(1/3 ページ)

現在オンライン上で広がっているフィッシング詐欺では、リンクをクリックする必要さえない。電子メールを開くだけでも危険だ。多くの専門家によると、この新手のフィッシング詐欺が今後さらに拡大する可能性がある。

» 2004年11月08日 18時54分 公開
[IDG Japan]
IDG

 フィッシング詐欺については、読者の皆さんも既によくご存じのことと思う。取引銀行だと称する電子メールに埋め込まれたWebリンクをクリックしたり、ユーザー名やパスワードを尋ねるメッセージに返事をしたりするような人は、読者の中にはいないだろう。だが、それだけで自分を守れると思ったら間違いだ。

 現在オンライン上で広がっているフィッシング詐欺では、リンクをクリックする必要さえない。電子メールを開くだけでも危険なのである。しかも多くの専門家によると、この新手のフィッシング詐欺が今後さらに拡大する可能性があるという。

 「この攻撃スタイルは、新しくもあると同時に古いものでもある。ウイルス作成者がよく用いる手法だが、フィッシング攻撃で採用されたという点が新しい」と話すのは、NetIQでセキュリティ管理製品を担当するディレクターのジム・マグラス氏だ。

 「フィッシャーたちは、ウイルス作成者が使って成功したテクニックを利用しようとしている。これは新しい危険な傾向だ」と同氏は警告する。

 こういった複合型攻撃の1つが、ウイルス対策ベンダーのSophosが「JS/QHosts21-A」と呼んでいる最近のフィッシング詐欺である。これは、トロイの木馬とWindowsのActiveXの脆弱性(ユーザーに気付かれないよう警告なしに自身をマシンにインストールする)を組み合わせたもの。

電子メールで送られるトロイの木馬

 Sophosによれば、JS/QHosts21-AはGoogleのWebページを表示するHTMLメールで送られてくるという。PC上でスクリプトが有効になっていて(Internet ExplorerおよびMicrosoftのメールクライアントのOutlookとOutlook Expressでは、スクリプトが初期設定で有効になっている)、ActiveXのセキュリティ設定が甘くなっていると(あるいはWindowsのバージョンが古かったり、パッチを適用していなかったりすると)、トロイの木馬が自身をPCにインストールする。

 PCに侵入したトロイの木馬は、hostsファイルを書き換える。hostsファイルというのは、Windowsのコンポーネントの1つで、ユーザーが入力したドメイン名(「www.pcworld.com」など)を、ブラウザがWebページを読み込むのに必要なIPアドレスに変換する際に最初に参照するファイルだ。

 フィッシャーは特定のIPアドレスをユーザーのPCのhostsファイルに書き込むことによって、銀行を装った偽のサイトをブラウザ(Internet Explorerを含む任意のブラウザ)に読み込ませるのである。

 あとはあなたにログインさせるだけで、フィッシャーはあなたのユーザー名とパスワードを手に入れるという寸法だ。

 Sophosでシニア技術コンサルタントを務めるグレアム・クルーリー氏は、「こういった新手のフィッシング詐欺では、電子メールでおびき寄せるといった従来の手法は用いられない。やつらはユーザーのPCをトロイの木馬に感染させた上でユーザーが偽の銀行サイトを訪れるのを待ち受け、そしてパスワードをキーロガーで取り込むのだ」と説明する。

 通常、ほとんどのユーザーのhostsファイルにはIPアドレスが含まれていない。hostsファイルが存在するのは、必要になる場合があるかもしれないという理由のみによる。そして、ほとんどのPCユーザーがhostsファイルの仕組みを知らないため、hostsファイルの変更を監視する専用のソフトウェアを使っているのでもなければ、実際に被害に遭うまでhostsファイルが変更されたのに気付くことはないだろう。

広がりはまだ限定的

       1|2|3 次のページへ

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ