水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > フィッシング激化

フィッシング激化

2004年11月10日(水曜日)

フィッシング激化

フィッシングについては、海外では当たり前、今後は日本にも上陸するだろう……などと言われていましたが、やはりと言うべきか、日本語のフィッシング詐欺メールが出現したようですね。

埋め込まれたURLをクリックしてアクセスした偽サイト。アドレスバーに表示されるURLを詐称するほか、サイトのタイトルもビザを偽装している

以上、VISAカードの暗証番号を入力させようとする日本語フィッシングメール出現 より

私自身は確認していないのですが、どうもポップアップウィンドウを URL 表示欄の上に重ねることで URL を偽装しているようです。そのため、XP SP2 で「サイズや位置の制限なしにウィンドウを開くことを許可する」が無効あれば影響を受けないようですね (参考: [memo:7847] Re: VISAを装った日本語のフィッシング詐欺メール (www.st.ryukoku.ac.jp))。

ちなみにこれはセキュリティレベル「中」でデフォルトで無効ですので、特にセキュリティレベルを下げるようなことをしていない限り、XP SP2 な方は影響を受けないと考えてよろしいかと思います。

そして海外でも手口が進化、こんなのが登場。

この手口は,SurfControl社のGlobal Threat Command Centersの研究員が今週確認したもの。米SunTrust Bankと豪Citibank AustraliaのWebサイトにおける検索スクリプトの欠陥を悪用し,javascriptページを実行して,Webサイトのコンテンツを不正なコンテンツにすりかえる。WebサイトのURLは正しいが,コンテンツは偽物ということになる。

以上、「金融機関サイトのコンテンツを偽物にすりかえる」,新たなフィッシング手口を英企業が警告 より

欠陥とはおそらく XSS でしょう。SSL ページに XSS があってページを捏造されると、捏造された罠のページに本物のサーバ証明書がついてしまうわけです。

ってこれ、私が 2年以上前に某所で述べたことそのまんまですね。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SSL/TLS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト