2004年11月16日(火曜日)
フィッシングというか……
「メールを開くだけで偽サイトに誘導~新たなフィッシング詐欺メール発見 (internet.watch.impress.co.jp)」という話なのですが、
メールは開封されると、密かにスクリプトを実行して被害者のPCのホストファイルを書き換える。そのため、次にユーザーが正当な方法でオンラインバンキングのWebサイトにアクセスしようとすると自動的に偽装されたWebサイトにリダイレクトされ、ログイン情報などが盗まれてしまうという。
メール自体はフィッシングというより、Hosts ファイルを書き換えられている時点でウィルス (トロイの木馬) だと思うのですが。昔 Qhosts (www.symantec.com) というものがありましたが、それと同じ動作ではないかと。
まあ、「トロイの木馬を使ってフィッシング」ということで丸く収まりますか。
ただし、この手口ではWindows Scripting Hostが利用されるため、これを無効にしているコンピュータは安全であるとMessageLabsでは説明している。
というか、WSH 有効の状態でメールを見るとファイルが書き換えられるなら、それは極めてまずい脆弱性です。ちゃんとパッチを当てていても WSH を無効にしないと回避できないのでしょうか? それが一番肝心な所なのだと思いますが、元ネタの "New phishing emails automatically steal bank log in details (www.messagelabs.com)" を読んでも書かれていないですよね。
※もし Qhosts とまるきり同じ原理ならば MS03-040 (www.microsoft.com) のパッチで防げるはずですし、XP SP2 はもとより影響を受けないはずですが、未知の脆弱性だとしたら厄介ですね……。
- 「フィッシングというか……」にコメントを書く
関連する話題: セキュリティ
ウィルス警告 spam からメールアドレスなどの情報が漏洩する
こういうメールをいただきました。一部伏せ字。
メール 警告!〓〓銀行ウイルス対策システムは、11/16/2004 13:20:46 に 送信者(bakera@star.email.ne.jp)受信者(<****-*****4@********.co.jp>)のメールのファイル: mails9_****-*****4.doc .scrにてウイルス:WORM_NETSKY.Pを検出しました。ウイルスは quarantined しました。
メールアドレスが思いっきり書かれています。Web サイトを見ても公開されていないアドレスのように思えますが、外部の人間に提供して問題ないのでしょうか。
普通の企業ならまだしも、銀行から送られてくるとちょっと不安になりますね。
※Recieved: を確認しましたが、間違いなくその銀行から送られている模様。
丸見え系
「NTT西の顧客情報7千人分、ネットで一時閲覧可能に (www.asahi.com.)」ということでしたが、「お客様の情報が外部から閲覧できる状況にあった事象について (www.ntt-west.co.jp)」という文書が出たようですね。
アンケート集計・閲覧用アドレスには関係者しか知らない非公開のアドレスを付与していたものの、何らかの理由で部外者がアドレスを知り11月12日17時30分頃からフリーメールでアドレスが広まった可能性があると考えています。
当たり前ですが、「関係者しか知らない非公開のアドレス」だから見られないはずだ、などという考え方をすること自体がもう致命的に駄目なわけです。普通 URL は秘密情報とは認識されませんから関係者があっさり漏らす可能性もありますし、予測されたり Referer から漏れたりすることもあります。酷い場合は hidden にズバリ書いてあったり、ディレクトリインデックスで一網打尽だったりするわけです。
そんなわけで「何らかの理由」はもう無数に想像できますが、アンケート対象者の一人が「気づいちゃった」というのがいちばんありそうですね。アンケートに回答する前に、そのアンケートが脆弱でないかどうか確認するというのは、消費者として正しい行動でしょうし。
……それはそれとして、一番考えさせられるのは、これをひっそりと届け出ていたら何が起きていたのかということです。メールで広めないで然るべき所に届け出ようよ……とは思うわけですが、そうしていた場合、果たしてこのように報道・報告されたのかなと。
関連する話題: セキュリティ
- 前(古い): 2004年11月15日(Monday)のえび日記
- 次(新しい): 2004年11月17日(Wednesday)のえび日記
