スレッドメモ

◆ [memo] メールを開くだけで偽サイトに誘導するフィッシング詐欺メール

[7913] YAMAMOTO Yoshinori (11/16)

Internet Watchの記事によると、新たなフィッシング詐欺メールが 発見されたそうです。

▼メールを開くだけで偽サイトに誘導〜新たなフィッシング詐欺メール発見
http://internet.watch.impress.co.jp/cda/news/2004/11/16/5420.html

以下、この記事から少し引用しますが、

> このメールは開封されると、密かにスクリプトを実行して被害者
> のPCのホストファイルを書き換える。

これはhostsファイルを書き換えるという意味だと思いますが、hosts が書き換えられるとURLを偽装しなくても偽サイトへの誘導が可能に なりますので、アクセス先のURLを確認する方法では偽サイトである ことを見破れないことになります。

[7917] TAKAGI, Hiromitsu (11/16)

> ちょっと懸念しているのは、このような手法を使われる可能性があ
> るとなると、アクセス先のURLの偽装を見破るだけでは十分ではない
> ため、「フィッシングに騙されない方法」を実践するのがいささか
> 面倒になることです。

そんなことはありません。そもそも、

http://internet.watch.impress.co.jp/cda/news/2004/11/16/5420.html
| このメールは開封されると、密かにスクリプトを実行して被害者のPCのホスト
| ファイルを書き換える。

ということが起きるのは異常な事態、つまり、そのメールソフトにセキュリティ 欠陥があるということなのですから、パッチがリリースされているならば、常に それを適用しておくことです。

phishingの高度な手口が出現したときに、「防ぎようがない」という思考に陥る ことは危険です。とるべき対策はまず常日頃からの脆弱性パッチの適用であるこ とが第一原則であることを、周知徹底するべきです。

phishingによって詐称された事業者が、顧客に注意喚起するときに、広報担当者 が IT素人であると、「こんなの防ぎようがない」という思考に陥り、単に、 「当社からお客様に直接メールで連絡することはありません」というとおり一辺 倒のテンプレート文章を、サイトに貼り付ける対応だけで満足してしまうという ことが起こります。

Webサイト側にクロスサイトスクリプティング脆弱性がある場合にも、phishging 詐欺に騙されやすくなるわけですが、サイト運営者が「phishingは防ぎようがな い」という素人考えに終始すれば、その脆弱性が修正されることもなくなるわけ です。

マスメディアは、高度な手口に対して防ぎようがないかのような印象を抱かせる 報道をするのはやめるべきです。 （これまでにも、一般的に、新たな高度な手口のウィルスが登場すると、防ぎよ うがないかのような報道をして、ウィルス対策ソフトの売り上げに貢献してきた わけですが、やるべきことは脆弱性パッチの適用です。）

やはり、脆弱性がある限りどうしようもないのですから、まずとにかく、脆弱性 パッチを適用することです。

未知の脆弱性が心配であるなら、HTMLメールを使わないなど、脆弱性の影響を受 けやすい設定を無効にすること、というのが基本となるでしょう。

それを推進するためには、HTMLメールマガジンが百害あって一利なしであるとい う社会的合意を確立させ、まともな企業はHTMLメールマガジンを提供しない態度 を堅持するべきでしょう。