BPnetニュース

電子決済サービス「PayPal」のアカウントに対するフィッシングを仕掛けるとしたら、どうすればよいだろうか。まず、「paypol-sevice.com」といった紛らわしいドメイン名を登録する手口が考えられる。しかし、これでは悪事を企んでいるとすぐに分かるし、存在が露呈しやすく、フィッシングを始めてもいないのに対策を講じられてしまう。以下は、構築した翌日に対策されてしまったフィッシング用ドメインの例だ。紛らわしいドメイン名を使うフィッシング手法に対しては、既に有効な防御策が存在する。そこで、巧妙なミススペルを考え出すのではなく、「paypalcom.cq.bz」のようなフィッシング・サイトかどうか判断しにくいURLを使うようになった。ところが、分かりにくいURLを使っても、Webサイトの機能自体がまともでないため、すぐにクローズされてアクセスできなくなる。該当Webサイトのホスティングをしている業者に偽サイトへの接続を遮断するよう求めるメッセージが送られたら、それで終わりだ。こうした状況で、フィッシングする連中は次に何をしただろうか。