ID窃盗フィッシングネットワークの存在が明らかに――Black Hatカンファレンスで（1/2 ページ）

セキュリティ研究者らは、偽の銀行サイトを無効にする「もぐらたたき」のようなアプローチは莫大な時間の浪費であると警告している。

[Ryan Naraine，eWEEK]

　なりすまし攻撃につながるフィッシング詐欺の仕組みに関する4カ月間にわたる調査の結果、侵入されたWebサーバ、自作用フィッシングキット、クレジットカード泥棒、そしてコード模倣者で構成されるアンダーグラウンドのエコシステムの存在が明らかになった。

　ワシントンで開催された「Black Hat DC Briefings」カンファレンスにおいて、セキュリティ研究者のビリー・リオス氏とニテシュ・ダーンジャニ氏は、フィッシングの蔓延に関する調査の結果を発表し、偽の銀行サイトを無効にする「もぐらたたき」のようなアプローチは、莫大な時間の浪費であると警告した。

　「出回っている情報を見て仰天した」とリオス氏は話す。「フルネーム、クレジットカード番号、PIN（個人識別番号）コード付きのATM番号、社会保障番号、住所、電話番号がすべて公開されているのだ。彼らはフィッシングサイト上でこういった情報を“fullz”と呼んでいる」

　Microsoftのセキュリティエンジニアを務めるリオス氏（今回のフィッシング調査は一般市民の立場で実施した）によると、多くのフィッシングスキームの特徴から判断して、攻撃者のほとんどはスキルを持たない模倣者であると推測されるという。

　「基本的に、彼らはGoogleを利用して脆弱なWebサーバを見つけ、自作用フィッシングキットを使って攻撃をセットアップするのだ。高度な技術を持った忍者ハッカーたちの仕業ではない」と同氏は語り、フィッシャーがほかのフィッシャーからデータを盗んでいたケースもあったと指摘した。

　このケースでは、個人情報泥棒はフィッシングキットに含まれるコードを使っていたが、彼（あるいは彼女）が盗んだデータがすべて電子メールでフィッシングキットの作成者に送信されていたことに気付かなかったという。

　「この仕掛けはキットに直接埋め込まれていた。大した苦労もせずにほかのフィッシャーからデータを盗んでいた奴がいたのだ」とリオス氏は話す。

　リオス氏とダーンジャニ氏はこの調査の中で、PhishTankプロジェクトで確認されたフィッシングサイトを利用し、一連の手がかりを頼りにカーダーサイト（クレジットカード情報が取引されるサイト）およびフィッシングフォーラムにたどりついたという。

　「約100種類のフィッシングキットが見つかった。キットには世界のあらゆる銀行の名前がハードコーディングされていた。その徹底ぶりには驚くばかりだ」

　ダーンジャニ氏は、キットに含まれる基本的な情報で武装したフィッシャーたちが単純なGoogleクエリを利用して、個人を特定できる情報を大量に手に入れる方法を説明した。

　「PayPalであれ銀行であれ、フィッシャーのターゲットになっている企業は、もぐらたたきをしている。業界はフィッシングURLを見つけ、それをIPアドレスに対応させ、これらのアドレスを無効にするようISPに要請するのに膨大なリソースを費やしている。この方法は困難で面倒なものになってきた」とダーンジャニ氏は話す。