最近、Yahoo! Japan の名前を騙ったフィッシング詐欺メールが話題になりましたが (この記事の最後に関連リンクあり)、高木浩光＠自宅の日記というサイトで、その実際を知り、これはだまされてもしょうがないかな、と思いました。ものすごい進化しています。恐いですね。

高木浩光＠自宅の日記 - ヤフーからの通知を装った日本語フィッシングで何が起きていたか, Yahoo! Mailのフィッシング事例から得られる教訓, 「メールで..

詳細は元記事を読んでいただくとして、驚くべきはこのフィッシング詐欺サイトが、パスワードが本物の Yahoo にログインできる正しいものであるかどうかまでチェックして動いているというところです。

入力したパスワードが本物サイトに中継される

このフィッシング事例が巧妙だったのは、それだけではなかった。図2の画面で、わざと間違ったパスワードを入力してみたところ、図3の画面が現れた。

図3: 間違ったパスワードを入力するとエラーとなる様子

10回ほど、自分のIDに対して間違ったパスワードを入れてみたところ、 10回とも「パスワードが正しくありません」というエラーになった。そして11回目に、正しいパスワードを入れてみたところ、 図4の画面に進んだ。

図4: 正しいパスワードを入れることで「ログイン」できた様子

こうした挙動を示したのは、偽サイトが、入力されたパスワードを本物サイト に中継送信して、パスワードが本物かどうかを確認する仕掛けになっていたとしか考えられない。

フィッシング自身も問題なのですが、この問題は9月の終わりの時点では発覚していたようです。それにも関わらず Yahoo が何も対策をとらなかったということが、やはり重要視されるべきではないでしょうか。とんでもないことです。

関連リンク：
・ITmedia エンタープライズ：Yahoo! JAPANをかたる日本語フィッシングメールが登場、手口はさらに巧妙に
・Yahoo! JAPAN - Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意
・Yahoo! JAPAN - Yahoo! BBをよそおう悪質なメールやページにご注意ください
・Yahoo! JAPAN - 個人情報の不正取得に関するご注意

しかし、Yahoo はこのお知らせをトップページから、もう消してしまっているんですよ。リダイレクト先の詐欺サイトも消えており、Yahoo としてはもイメージを傷つけたくないから表示をやめたのでしょうが、今後の被害を防ぐためにも、こうしたことはちゃんと継続的に知らせるようにするべきだと思います。また似た手口の詐欺が現れる可能性は高いのですから。

その他参考サイト：
・“フィッシング詐欺”にご注意 - ［インターネットセキュリティ］All About
・“phishing”の新たな手口が出現，「今まで見たことがない」――業界団体 : IT Pro ニュース
・スラッシュドット ジャパン | フィッシング詐欺を阻止せよ！

ちょっと違う手口：
・忍之閻魔帳：ヤフオクを席巻中、その名は「カネダ＆キクタ＆シマモト」
・実録Yahoo!オークションで「落札者キャンセル詐欺」 [絵文録ことのは]

Trackback Ping URL(U)