目で見る「アドレスバー偽造型」フィッシング詐欺の手法（1/2 ページ）

深刻な問題となりつつあるフィッシング詐欺は日々進化している。そんな詐欺メールの最新手法を紹介しよう。この手口は日本語フィッシングメールにも悪用され始めた。

[小林哲雄，ITmedia]

　今のところ、日本ではまだ深刻な被害が出ていない（と願いたい）オンライン詐欺もどき、通称「フィッシング」が、米国を中心に深刻な問題となっている。先日来日したSymantec会長兼CEOのジョン・トンプソン氏のスピーチでも、脆弱性が悪用された例として当然のごとくフィッシングが語られていた。

　フィッシングは個人情報を盗み出すためのテクニックのひとつと言える。金融機関やオンラインショッピングを装ったWebサイトに誘導し、「あなたの個人情報が危険にさらされているため」などともっともらしい理由をつけて、パスワードなどの重要なデータを自ら入力させるよう仕向け、まんまとそれらの個人情報を盗み取る、というわけだ（その意味で、個人情報はまさに「危険」にさらされているわけだが）。

　当然ながらそのために、フィッシング詐欺師たちは正規のサイトと似たようなドメインを取得し、似たような入力画面を作り……と、あらゆる手を講じてくる。

　さて、そのフィッシングメールだが、実際にご覧になった方はどのくらいいるだろう？　そのメールはどのような形式なのだろうか？

　筆者は現在、スパムメールの現状と対策をテーマにした原稿を作成しており、そのための情報収集中だ。その過程でなかなか興味深いフィッシングメールが届き、画像類を収集することができたので、今日はその手法を紹介したい。

詐欺師もお金がかかると必死なのだ

　今回取り上げるフィッシングメールは、単にURLをクリックさせ、偽装サイトに誘導するといったものよりも、もうちょっと手が込んでいる。それらしいHTMLコンテンツを用意するだけでなく、Webサイトの身元が表示されるはずの「アドレスバー」を偽装して、ユーザーを騙そうとするのだ。

　筆者のメイン環境はWindows XP……SP1である。当然、重要なパッチ類はすべて当てた環境で作業している。しかしこの状態でも、フィッシングサイトのこの「仕掛け」は有効に機能した。

　フィッシング詐欺で騙られるサイトの筆頭に挙げられるのは米Citibankだ。ある日、スパムメールの収集に励んでいたところ、その最新版と思しきメールが届いた。

From: Citibank
Subject: Citibank Alerting Service

　タイトルだけ見れば、まあいかにも「Citibankからのお知らせ」という体裁である。だが……

Received: from ppp-217-133-228-13.cust-adsl.tiscali.it
(ppp-217-133-228-13.cust-adsl.tiscali.it [217.133.228.13])

　こうしてヘッダーを見れば一目瞭然だが、このメールをうちのメールサーバに届けたのはイタリアのADSLサービスと思しきホストからである。Citibankからの正当なメールとはとうてい思えない。ゾンビマシンによるスパムと判定してよさそうだ。そもそも筆者は、米Citiに口座なんか持っていない。

　では本文は？　と思って読んでみると

Dear Citibank Customer
We were unable to process the recent transactions on
your account. To ensure that your account is not
suspended, please update your information by clicking ＊here＊
If you have recently updated your information, please
disregard this message as we are processing the
changes you have made.

注：hereの部分はフィッシングサイトへのリンク

　要するに「あなたの情報を入れろ」ということで、フィッシング確定である。

　では、そのフィッシングサイトにアクセスしてみよう。いやぁ、実によくできていますね。慌ててアクセスしたら勘違いしてしまうのも無理はないくらい、作り込まれてます。

画面1●本物のCitibank（http://www.citibank.com/）のサイト

画面2●IE 6とWIndows SP2の組み合わせでアクセスした偽サイトの画面

……でも、ズラずれてます

　上記の画面は縮小された形で掲載しているため、ほとんど区別が付かないと思うが、よくよく見るとアドレスバーの下に妙な文字列が見えるはずだ。これが、今回のフィッシングメールの「ミソ」である。