女子大などの学生アカウント狙うフィッシング、米国で9件確認

　RSAセキュリティは24日、フィッシング詐欺の動向に関する報道関係者向けの説明会を開催し、米国の大学の学内ポータルサイトなどを装ったフィッシングサイトが確認されたことを報告した。学生の個人情報を取得したり、スパムメールの発信源として悪用することなどが目的とみられるという。

　RSAセキュリティが確認したのは、カンザス州立大学のポータルサイトや、マサチューセッツ州にある私立女子大学・マウントホリオーク大学のWebメールサイトを装ったものなど。正規のサイトとほぼ同じページとなっているが、唯一異なるのがURLだ。

　これら2校の事例では、オランダのccTLD「.nl」のドメイン名が使われており、アドレスもやたら長いものだった。RSAセキュリティの水村明博氏（マーケティング統括本部プロダクトマーケティングマネージャー）は、「URLを見れば通常は不審に思うはずだが、意外に見ない人が多く、ひっかかってしまう」と指摘する。

フィッシングの標的となったカンザス州立大学のポータルサイト（写真は正規サイト）	フィッシングの標的となったマウントホリオーク大学のWebメールサイト（写真は正規サイト）

　水村氏によると、米国ではここ10年ほどでキャンパスのIT環境整備が進み、レポート提出や成績などの情報を、こうした学内サイトを通じて学生に提供するようネットワーク化されてきているという。学生向けの掲示板や学生アカウントのメールサービスを提供しているところもある。

　なぜ学内サイトを狙うのかという目的については、実際の被害状況をRSAセキュリティでは把握していため推測の域を出ないとしながらも、水村氏は、学生の個人情報取得やソーシャル攻撃への悪用ではないかと説明する。

　例えばメールの内容を窃取できれば、金融口座の情報やクレジットカード利用履歴、学生ローンの申し込みメールなど、高額取引につながる個人情報にたどり付ける可能性がある。

　また、大学のドメイン名を持ったアドレスから発信されたメールは、多くの学生が疑うことなく開封する傾向にあることから、「良質な」スパムメールの発信元を調達できることにもなる。さらに、学内の共有PCにボットを仕込んでマルウェアを配布するなど、新たな攻撃への布石にもなる。

RSAセキュリティの水村明博氏（マーケティング統括本部プロダクトマーケティングマネージャー）

　さらに問題な点として水村氏は、これらの攻撃対象はセキュリティが脆弱であり、攻撃者にとって狙いやすいこともあると指摘する。まず、ほとんどの大学は、極めてデリケートな学生の個人情報を保有しているしているにもかかわらず、情報価値のわりにはセキュリティ対策の水準が低いという。また、こうした学内ネットワークの利用にあたって、学生に対してセキュリティ教育がきちんとなされていないこともあるとした。

　実際、今回確認されたフィッシングサイトは、トロイの木馬を使ってひそかにアカウント情報を盗みとる最近の高度な詐欺手口に比べると、明らかに怪しいURLになっていて見破られやすいなど、レベルの低い手口と言えるとしている。

　RSAセキュリティが把握している限りでも、大学を狙うフィッシングはこれまでもあったが、このところ数が増えて来ているという。また、前述の2校の事例では、「.nl」の同じドメイン名を用いたフィッシングサイトだったが、確認されている9校の中にはこれ以外のドメイン名のフィッシングサイトもある。学内ネットワークを狙っている攻撃者が複数存在する可能性もあるようだ。

　水村氏はこのほか、Twitterなどのソーシャルサービスを標的としたフィッシング攻撃が増えていることも確認されていることや、日本においてもこのところ、GREEやモバゲータウン、mixi、ixenなどが標的となっていることなども紹介。これまでフィッシングの標的といえば金融機関やオンラインショッピングサイトが主だったが、今後は今回の事例のように大学や、SNSやゲームサイトなどの企業を狙うものも増えると指摘。また、米国ではヘルスケア企業が重要な個人情報を保有している場合もあり、標的になりやすいのではないかとした。

　なお、RSAのオンライン不正対策指令センター（Anti-Fraud Command Center：AFCC）が2010年1月に世界で検知したフィッシング総攻撃回数は1万8820回で、前月比で21％増加、前年同期比では120％増加した。2009年10月の1万7900回を超えて、過去最多となった。