PR

 米国のクレジットユニオン(信用組合)を監督する独立政府機関「National Credit Union Administration(NCUA)」は2009年8月25日、同機関をかたって、ウイルス(悪質なプログラム)入りのCD-ROMを郵送する攻撃が確認されたとして注意を呼びかけた。しかしながら、セキュリティ組織の米サンズ・インスティチュートによれば、この「攻撃」は、許可を得て実施された「セキュリティ訓練」だったという。

 NCUAの情報によれば、同機関の監督下にある信用組合の一部に対して、同機関をかたる郵便物が届けられたという。郵便物は手紙と2枚のCD-ROM。手紙には、フィッシング詐欺に対する注意喚起が記載されている(図1)。加えて、同封された2枚のCD-ROMは、フィッシング詐欺対策の教材であると書かれている。

 だが、この手紙は偽物であり、教材のCD-ROMにはウイルスが含まれていたという。このためNCUAでは、このような郵便物を受け取ったら、CD-ROMを実行することなくNCUAに連絡するようWebサイトなどで呼びかけた(図2)。

 これを受けてサンズ・インスティチュートでは8月26日、同組織の公式ブログにおいて、NCUAの情報を紹介。信用組合以外に対しても同様の攻撃が起こりうるとして注意を呼びかけた。

 ところが8月27日、サンズ・インスティチュートは同情報を更新。あるセキュリティ企業から、問題のCD-ROMは同社が実施したセキュリティ訓練の一環であり、許可を得て送られたものであることが伝えられたという。NCUAが訓練を「本物」だと誤解した理由については言及していない。