［世界］
二段攻撃でユーザーを欺くフィッシング・サイトが発覚

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

（2008年04月22日）

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。

　2004年ごろにその存在が明るみに出たRock Phishは、フィッシング・サイトの構築や、スキルの低いサイバー犯罪者向けのフィッシング・キットの販売などでよく知られるようになった。

　RSAの発表によると、Rock Phishと関連のあるフィッシング・サイトでは現在、個人情報の入力をユーザーに促す従来のやり方に加え、「ドライブバイ・ダウンロード」と呼ばれる新たな攻撃手法が使われ始めているという。ドライブバイ・ダウンロードとは、ユーザーが介在することなくPCを悪質なソフトウェアに感染させるたぐいの攻撃を指す。

　RSAのシニア・リサーチャー、アリエル・マイモン（Uriel Maimon）氏は、こうした二段攻撃が使われるようになったことで、従来のフィッシング手法には引っかからなかったユーザーであっても個人情報を奪われる危険があると、同社のブログに書いている。

　ドライブバイ・ダウンロードを使うフィッシング・サイトは、PCに対してあらゆるソフトウェアの脆弱性を悪用しようと試み、脆弱性を発見した場合は、PCにトロイの木馬「Zeus Trojan」を仕掛けるという。ZeusはユーザーのPCに対して、フォーム上のデータの収集、スクリーン・ショットの取得、ブラウザのパスワードの収集、PCのリモート制御といった行為を行うため、きわめて危険な存在であると、Maimon氏は述べている。

　Zeusには、少なくとも150種類にのぼる“派生品”があるという。例えば、現時点で700ドルで売られているあるフィッシング・キットは、ウイルス対策プログラムがZeusの活動を把握することを妨げるものだ。同キットは、バイナリ・ジェネレータを使ってZeusのバイナリ・ファイル（プログラムの実体）を生成し、ウイルス対策プログラムの目をくらまそうとする。

　ウイルス対策プログラムは、悪質なプログラムを検知するために「シグネチャ」と呼ばれるデータ・ファイルを使う。しかし、シグネチャは、新しく生成されるバイナリ・ファイルのすべてを検知できるわけではない。一般的なウイルス対策プログラムの大半が、こうした“変種”を検知できないという。

　Maimon氏は、「これらのバイナリ・ファイルは、それぞれがまったく違うものになっており、ウイルス対策プログラムやセキュリティ・ソフトウェアが検知するのは非常に難しい」と述べている。

(Jeremy Kirk／IDG News Serviceロンドン支局)