水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年11月 > 2004年11月10日(水曜日)

2004年11月10日(水曜日)

フィッシング激化

フィッシングについては、海外では当たり前、今後は日本にも上陸するだろう……などと言われていましたが、やはりと言うべきか、日本語のフィッシング詐欺メールが出現したようですね。

埋め込まれたURLをクリックしてアクセスした偽サイト。アドレスバーに表示されるURLを詐称するほか、サイトのタイトルもビザを偽装している

以上、VISAカードの暗証番号を入力させようとする日本語フィッシングメール出現 より

私自身は確認していないのですが、どうもポップアップウィンドウを URL 表示欄の上に重ねることで URL を偽装しているようです。そのため、XP SP2 で「サイズや位置の制限なしにウィンドウを開くことを許可する」が無効あれば影響を受けないようですね (参考: [memo:7847] Re: VISAを装った日本語のフィッシング詐欺メール (www.st.ryukoku.ac.jp))。

ちなみにこれはセキュリティレベル「中」でデフォルトで無効ですので、特にセキュリティレベルを下げるようなことをしていない限り、XP SP2 な方は影響を受けないと考えてよろしいかと思います。

そして海外でも手口が進化、こんなのが登場。

この手口は,SurfControl社のGlobal Threat Command Centersの研究員が今週確認したもの。米SunTrust Bankと豪Citibank AustraliaのWebサイトにおける検索スクリプトの欠陥を悪用し,javascriptページを実行して,Webサイトのコンテンツを不正なコンテンツにすりかえる。WebサイトのURLは正しいが,コンテンツは偽物ということになる。

以上、「金融機関サイトのコンテンツを偽物にすりかえる」,新たなフィッシング手口を英企業が警告 より

欠陥とはおそらく XSS でしょう。SSL ページに XSS があってページを捏造されると、捏造された罠のページに本物のサーバ証明書がついてしまうわけです。

ってこれ、私が 2年以上前に某所で述べたことそのまんまですね。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SSL/TLS

最近の日記

関わった本など