正規のPayPalサイトでフィッシング、個人情報流出

[ITmedia]

　フィッシング対策ツールバーを提供するNetcraftによれば、米eBay傘下の決済サービスPayPalサイトの脆弱性が悪用され、クレジットカード番号などの個人情報が盗まれていたことが分かった。

　詐欺に使われたURLは、正規のPayPalサイト上でホスティングされていたという。SSLを使って情報が暗号化され、有効な256ビットSSL認証を表示して同サイトがPayPalのものであることを確認。しかし実際にはページ内のコンテンツの一部がクロスサイトスクリプティングの手口を使って書き換えられていた。

　ユーザーがこのページを訪れると「あなたのアカウントは第三者にアクセスされたため現在利用できません」というメッセージが表示された後、外部のサーバにリダイレクトされ、偽のPayPalメンバーログインページに切り替わる。この時点でユーザーは、最初にpaypal.comのドメインとSSL認証が表示されていたため、偽ページに誘導されたとは気づきにくいという。

　偽ページではユーザー名とパスワードを入力した後、クレジットカード番号、社会保障番号、銀行の暗証番号などの入力を求められる。詐欺に使われているサーバは現在、韓国でホスティングされているという。

　Netcraftによると、Paypalではこの脆弱性に対処済み。問題のサイトを閉鎖させるため、インターネットサービスプロバイダーの協力を得て対処中だとするPayPal広報の話を掲載している。被害に遭ったユーザーの数は不明だという。