« そう言えば、2月2日は・・・ | トップページ | 現実と仮想の組み合わせ »

2009年2月 4日 (水)

フィッシングで盗んだデータの送信方法

日経ITproの記事「フィッシングで盗んだデータの送信方法」 からです。

この記事によると、フィッシングで盗んだデータの送信方法は、

 動的言語で作られたフィッシング・キットは,偽Webサイトをホスティングしているサーバー上にテキスト・ファイルを作り,そこに被害者から集めた情報を書き込む。情報をメールで外部に送信することも可能だ。なお,情報をメールで送信する場合は,フィッシング・キットに組み込まれた自前のPHPメール・エンジンを使う。これに対し,前述のWebフォームは,フィッシング・キットと無関係の外部メール送信「サービス」に頼っていた。

 集めた個人情報を送信する手段として,メールを使う方法は現在でも主流だ。状況によっては,サーバー上のテキスト・ファイルも利用される。ただし,テキスト・ファイル方式は,別の詐欺師や,標的であるはずの金融機関そのものといった他者にもデータを読まれかねない。これは,詐欺師にとってリスクであり,受け入れがたい欠点だろう。個人情報の送信にぜい弱なメール送信Webフォーム用プログラムを悪用する旧式の攻撃でさえ,いまだ現役である。

(中略)

 外部から自由に使用可能なメール送信Webフォーム用のCGIプログラムは見かけなくなってきたが,同じ目的に利用できるWebアプリケーションの各種ぜい弱性が存在する状況は変わっていない。これら新たなセキュリティ・ホールの悪用事例はまだないが,攻撃手段として実際に使われるのは時間の問題だと思う。

ということです。

思ったよりも攻撃側の技術が進んでいないように感じましたが、技術が進むのは時間の問題なんでしょうね。
それから、攻撃側のリスクを大きくすること、つまり「動機の排除」が「手段の排除」以上に(フィッシングに限らず)重要だと考えております。

|

« そう言えば、2月2日は・・・ | トップページ | 現実と仮想の組み合わせ »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/27733054

この記事へのトラックバック一覧です: フィッシングで盗んだデータの送信方法:

« そう言えば、2月2日は・・・ | トップページ | 現実と仮想の組み合わせ »