画像及びビデオ共有サービスサイト Photobucket のフィッシングサイトが確認されている。Photobucket のアカウントを悪用されることにより、正規サイトにアクセスされ、マルウェアの埋め込みに使用されるという。
ニュース記事集: 2008年8月アーカイブ
ご紹介するニュース等については、フィッシング等に関する情報提供を目的としており、フィッシング対策協議会が内容の正確性などについて保証するものではありません。
警察庁発表の上半期サイバー犯罪検挙状況によると、検挙件数は2,192件で前年同期(1,808件)より21.2%増加、都道府県警察の相談窓口で受理したサイバー犯罪等に関する相談件数は38,506件で、前年同期(33,058件)より16.5%増加、インターネット上での困りごと相談サイトの事例検索ページで相談事例分類からの検索89,138件のうち、「フィッシング」は1,400件で1.6%と報告されている。
(株)ラックによれば、SQLインジェクション攻撃は増加傾向にあり、攻撃元は、ほぼ例外なく中国のISPが保有するIPアドレスであること、攻撃の一連の流れがツールにより自動化されていることが判明した。 さらに、攻撃者たちがツールを有料で入手し(投資し)、一般ユーザの情報などを奪い、金銭を得ることを目的として攻撃を仕掛けている事実などから、アンダーグラウンドで本格的にビジネス化していると結論付け、また、検索エンジンを悪用して自動的な攻撃を行う手法、特に被害に気づきにくい、クロスサイト・スクリプティングの自動攻撃が増加すると予測している。
ラックでは企業側の対応として以下の基本的な3つの対策を実施するよう推奨している。
- 対策1. 適切なSEOを実施し、攻撃されやすいページを検索結果に表示されないようにする
- 対策2. Webアプリケーションから脆弱性を取り除く
- 対策3. IPSやWAFによるネットワーク上での防御を行う
英ソフォスが、偽のセキュリティソフトを配布する新たな手口について注意を呼びかけている。 メールなどに書かれたURLをコピーして、ブラウザーのアドレスバーに貼り付けるという一般的に行われている行動を悪用するというものであり、Flashコンテンツに仕込んだスクリプトを使って、クリップボードに偽ソフト配布サイトのURLをコピーすることで、ユーザを偽ソフト配布サイトへ誘導するとされている。
セキュリティ企業FaceTime Communicationsの研究者は、ログイン情報を入力する際、「パスワードが違います」などのエラーメッセージが表示されないフィッシング・サイトが発生したと警告している。偽のログインページから正規のサイトにログインできてしまい、ログイン後は通常と同じように正規のサイトを利用できるため、フィッシングに遭ったことに気付きにくいと指摘している。
http://www.itmedia.co.jp/enterprise/articles/0808/26/news023.html
Net Applicationsのウェブブラウザのシェア調査報告を元にして、米VeriSignがEV SSL証明書対応ブラウザの普及に関する発表を行った。 EV SSL証明書を導入しているウェブサイトは少数にとどまっているが、ウェブブラウザ側の対応が進んだことで、より多くのウェブサイトがサイトの信頼性を証明するための手段としてEV SSL証明書を導入する傾向に弾みがつくことになるだろう、としている。
東京入国管理局を騙り、現金の振込みを依頼するメールについて、振り込め詐欺の可能性が高いとの注意喚起が行われている。東京入国管理局があっせんする就職の希望者の在留資格認定証明書等の諸手続に係る手数料を、指定口座への振り込むようにとの依頼だが、東京入国管理局は各種申請に関して事前に現金の振込みを依頼することはない、と注意を呼びかけている。
新種のスパムメールが次々とバリエーションを変えて登場しているが、これに起因する偽セキュリティソフトの感染被害が広まっており、日本でも多くの問い合わせがあるとのこと。ユーザの被害は、セキュリティソフト購入の名目で金銭を巻き上げられること、購入に使用したクレジットカードなどの情報が漏洩してしまうこと、の2つ。スパムメールは、不正プログラムの脅威と連続する具体的な脅威であり、不要なメールには触らないように、注意を呼びかけている。
マイクロソフトは、「Windows Update(Microsoft Update)サイトにアクセスしようとすると、エラーが表示される」といった報告が急増しているとホームページで発表した。原因は、ウイルス感染やユーザーが自分で停止している場合があるとし、これらのサービスが停止していると、Windows Updateなどを利用できない、自動更新を有効にしていても更新プログラムが適用されないためとても危険である。また、同社はウィルス感染時の対応等についてホームページで公開している。 http://itpro.nikkeibp.co.jp/article/NEWS/20080814/312758/
トレンドマイクロは、7月のスパム・メールに関する統計を発表した。スパムメールの発信元の1位 ロシア、2位 アメリカと続き、上位5カ国からのスパムメールの発信量が全流通量の約36%を占めているという。
また、フィッシングに関連する事例として、iPhone 3G発売に便乗したものや「Reply-To:」フィールドを使うもの(不正サイトへの誘導はしない)などを紹介している。
http://blog.trendmicro.co.jp/archives/1497#more-1497
米ウェブセンス社は、北京オリンピックの公式サイトに似たドメイン名を持つフィッシング詐欺サイトを確認したとして注意を呼びかけた。正規なサイトと酷似したアドレスを利用し、公式サイトにアクセスしようとしたユーザーが、タイプミスにより誤って詐欺サイトにアクセスすることを狙っている。「タイポスクワッティング(typo-squatting:タイプミスの不法占拠)」と呼ばれる攻撃で、今回のケースは、詐欺サイトへの誘導に、メールを使わないなど詐欺サイトだと気づかれにくくしているところに特徴があるとしている。
JPCERTコーディネーションセンター(JPCERT/CC)は7日、特定の企業・組織の従業員や職員を狙う「標的型攻撃」への対策のあり方を考察した「標的型攻撃対策手法に関する調査報告書」を公表した。報告によると、セキュリティ技術に対する理解度と開封率の間に相関関係は見られず、技術やスキルだけでは対応できないことが改めて示されたとしている。 http://internet.watch.impress.co.jp/cda/news/2008/08/08/20524.html
米IM企業FaceTime Communicationsのセキュリティ研究者は、IE 7をダウンロードするよう宣伝するスパムで、実際にはIE7ではなく、偽セキュリティソフトがインストールされるとの注意の呼びかけている。また、CNNニュースを装ったスパムも出回っており、注意が必要としている。
トレンドマイクロは、Internet Explorer 7のアップデートを偽ったスパムメールが出回っていると報告した。スパムメールの中の「IE7最新版入手」とかかれたリンクをクリックするとトロイの木馬ウィルスがダウンロードされる。同スパムメールは、「MSN Featured Offers」加入者に対して送信されたメールであると説明することで、信頼性を高めるための工夫がされている。 http://blog.trendmicro.co.jp/archives/1585
ラックはSQLインジェクション攻撃を中心に、Webアプリケーションやデータベースセキュリティ対策の状況、対策方法をまとめたレポートを発表した。このレポートでは継続するSQLインジェクションの脅威を警告すると共に、SQLインジェクション攻撃に備えるために実施すべき4つの対策を提示した。
http://www.lac.co.jp/info/csl_report/pdf/20080806_dbslreport.pdf
米Consumer Reportsは、過去2年間における、ウイルス、スパイウェア、フィッシング詐欺による米国消費者の損失額は推計で約85億ドルと試算したことを発表した。フィッシング詐欺では推定で約650万人が個人情報を詐取され、そのうち14%が金銭被害を受けたという。フィッシング詐欺による被害の推定額は約20億ドル。また、調査回答者のうち75%はフィッシング対策ツールバーを使っていなかったという。
8月4日、ヤフージャパンは強化してきた「ヤフーオークション」における不正行為対策、安全対策状況について報告した。不正ID取得やフィッシング詐欺などの被害件数、補償金額が大幅に減少し、詐欺被害発生率は0.003%と、極めて低い水準に達したという。
http://www.itmedia.co.jp/enterprise/articles/0808/05/news009.html
米司法当局とシークレットサービスは、小売大手各社から約4,000万件のクレジットカードおよびデビットカード情報が盗まれた事件の背景に、国際的犯罪シンジケートが存在することを明らかにした。米司法省(DOJ)とシークレットサービスは、ハッカーたちがウォードライビング(車で移動しながらWi-Fiネットワークのアクセスポイントを探す手口)で各社のコンピュータネットワークに不正侵入し、個人情報を盗み取るスニファプログラムでカード情報と個人データを盗み出したとしている。
RSAセキュリティの月例レポートによれば、フィッシング詐欺は増加基調にあり、攻撃者側の作業が分業化、ツールキットの進化が進んでいると報告している。
米IBM社の調査によれば、ぜい弱性の公表から攻撃までのターンアラウンドが短くなっており、24時間以内の例もある。フィッシング攻撃の標的とされた組織トップ20のうち18が金融機関とのこと。
http://itpro.nikkeibp.co.jp/article/Research/20080730/311779/
セキュリティ企業のSophosが2008年上半期のサイバー犯罪に関する動向報告書を発表、トロイの木馬やスパイウェアを配布しているWebサイトの90%以上はSQLインジェクション攻撃でマルウェアを埋め込まれた正規サイトとのこと。
http://www.itmedia.co.jp/enterprise/articles/0807/24/news038.html
北京オリンピックのチケットを販売するという詐欺サイトが出現している。 これらの詐欺サイトは実際には個人情報及びクレジット番号を詐取するもので、既に何百という人々が金銭を詐取されていると報告されている。 発見された詐欺サイトは「beijingticketing.com」等、それらしく見えるものが用いられ、カード入力画面へのアクセスにはSSLが使われているなど巧妙に作られているという。
米ミシガン大学の研究者達が、米カーネギーメロン大学にて開催された「Usable Privacy and Security」シンポジウムにて、米国銀行ウェブサイトの75%に一つ以上の設計上の脆弱性を発見したことを報告した。彼らの調査は次の 5 項目について行われたものである。
- (1)説明無く異なるドメインへのページ移動を行っている
- (2)保護されていないページにログインフォーム等を設置している
- (3)コンタクト情報、セキュリティアドバイス等を保護されていないページに置いている
- (4)ユーザID及びパスワードに関する不適切なポリシー(短すぎるパスワード、電子メールアドレスをユーザIDとする等)
- (5)重要情報を安全でない電子メールで送信している(未暗号化等)
調査によれば、(1)については30%、(2)については47%、(3)については55%、(4)については31%、(5)については24%のサイトに問題が発見されたという。
|
消費者庁からのお知らせ ~ワンクリック請求に注意!慌てず、払わず、まず相談を~ |
フィッシングを理解する
ニュース
フィッシング事例
消費者の皆様へ
サービス事業者の皆様へ
コラム
報告書類
協議会情報
その他
