PR
図1 早稲田大学のある研究室のWebサイトに置かれた偽ページ
図1 早稲田大学のある研究室のWebサイトに置かれた偽ページ
[画像のクリックで拡大表示]
図2 IE7のフィッシング警告
図2 IE7のフィッシング警告
[画像のクリックで拡大表示]
図3 Opera 9のフィッシング警告
図3 Opera 9のフィッシング警告
[画像のクリックで拡大表示]

 早稲田大学のある研究室のWebサイトに、フィッシング詐欺目的の偽サイトが構築されていたことが、2007年3月19日に明らかとなった。現在では、偽サイトは削除されている。

 偽サイトは、米国のWells Fargo銀行をかたるもの(図1)。同銀行のログイン画面に見せかけたWebページを用意し、ユーザー名やパスワードなどを入力させて盗むのが狙い。典型的なフィッシング詐欺である。詳細は不明だが、何者かに不正侵入されて、この偽サイトを構築された可能性が高い。

 今回の偽サイトを発見したのは、海外のあるセキュリティベンダー。そのベンダーの情報によれば、週末にこのフィッシングサイトを見つけて早稲田大学に連絡。そして3月19日の午後4時30分ごろに、その偽サイトがオフライン状態にされて、アクセスできないように対処されたという。

 しかしながら、3月20日午前10時ごろに編集部で偽サイトのURLにアクセスしたところ、依然、Wells Fargoに見せかけた偽のログインページが表示された。このため、編集部では同研究室に連絡。3月20日午前11時には、同ページにアクセスできなくなった。

 なお、3月20日午前10時時点で、今回の偽サイトは、セキュリティベンダーなどによってフィッシングサイトとして登録されていた模様。偽サイトが閉鎖される前に、フィッシング対策機能を備えるWebブラウザーInternet Explorer 7およびOpera 9でアクセスしたところ、いずれもフィッシングサイトとして検知して、閲覧をブロックした(図2、図3)。

 今回のように、海外の企業をかたる偽サイトが、国内のWebサイトに構築されるケースは後を絶たない。セキュリティ組織のJPCERTコーディネーションセンター情報処理推進機構セキュリティセンターでは、2005年2月に注意喚起の文書を公開している。

 Webサイトに不正侵入されてフィッシングに悪用されると、被害は自分たちだけに留まらない。被害者でありながら、加害者にもなる。「自分たちのWebサイトには大事な情報はないから、侵入されても問題ない」などと考えていると、とんでもないことになる。どのようなWebサイトであっても、公開している以上は、万全のセキュリティ対策を施す必要がある。