海外における個人情報流出事件とその対応 第191回 大手就職情報サイトで、また情報漏えい (2)犯罪者に狙われるWebサイト
●英国に波及したショック
国際
海外情報
Monsterは2004年、唯一の汎ヨーロッパ就職活動Webサイトとなったと、会社概要でも紹介していて、欧州でも利用者が多い。そのためだろうか、Monsterの漏えい事件については、英国でも大きく報じられている。
例えば英BBC放送も27日、英国の450万人のユーザも影響を受けていると報じている。Monsterが被害者数を公式に発表していないが、もしこの全員のデータが漏えいしているとすると、英国史上最悪の事件となるとしている。
同様に『The Daily Mail』もMonster.co.ukに登録していた450万人の英国人が被害を受けたと伝えているが、こちらは既に史上最悪だと断定した書き方だ。そして、被害に遭ったのは、主に専門職だという。
『The Daily Mail』では、セキュリティ専門家が、ギャングがデータを用いて偽の金融機関口座を開設したり、被害者の名義でローンを組む危険もあると指摘していることを伝えている。加えて、『The Daily Mail』、『Vnunet.com』では、「ハッカーはパスワードを用いてe-mailやオンライン銀行口座にアクセスすることができる」と、ソフォスのグラハム・クルーリーの話を紹介している。「ハッカーはまず(Monsterから入手した)e-mail アドレスや個人情報を用いて、現実的なフィッシングキャンペーンを展開して、もっと重要な情報を集めることができる」
リンクや添付ファイルにトロイの木馬を仕掛けたフィッシングメールを送付。ユーザを感染させることで、さらにユーザのPCでのやりとりをモニターして、オンラインバンキングなどのユーザ名やパスワードを盗み出し、最終的にはこのユーザの口座から不正に金銭を引き出すなどの危険がある。その際、フィッシングメールに受信者の氏名、電話番号など、正しい個人情報が含まれていると、受信者側も正規のメールと考え信用しがちだ。
●約2年間に3回、狙われる求人サイト
Monsterからの情報漏えいは今回が初めてではなく、2007年8月にも明らかになっている。シマンテックが、160万件のユーザのデータが不正アクセスを受けたようだと述べた事件で、ウクライナにあるWebホスティング会社の2つのサーバなどから、ハッカーが攻撃を仕掛けたというものだ。
Monsterが攻撃を受けたことを初めて知ったのはシマンテックからの連絡があった8月17日だ。週末を費やして、Monsterのセキュリティチームが状況を調査して、不正サーバを見つけだした。そして、Webホスティングの会社にそのサーバ閉鎖を求めた。
不正アクセスを受けたのは、ユーザの氏名、住所、電話番号、e-mailアドレスなどで、銀行口座などは無事だった。しかし、その後、シマンテックなどが、盗まれたデータを用いたフィッシングメールを確認。これは求人を行う企業であると装って、銀行口座番号などの個人の金融情報を求めるものだった。同時に、リンクをクリックすることで、ユーザのPCをマルウェアに感染させることを狙っていた。
そして、2007年11月にはmoster.comのWebサイトがハイジャックされ、ユーザがアクセスすると、別のサイトにリダイレクトされるという事件が起きた。iFrame 攻撃により、アクセスするとツールキットNeosploitでマルウェアに感染した。
このように、判明しているだけで、Monsterが攻撃を受けたのは、2年間に3回ということになる。ほかにも2008年7月にも、Monster.comのユーザを対象としたフィッシング詐欺が、McAfee Avert Labsにより報告されている。Monster.comのWebサイトにリンクしていると見せかけたプロフィールを最新のものにするように求めるe-mailが送付されるというもので、Monsterからの情報漏えいというわけではないが、攻撃対象となった。
昨今の世界的な景気後退を受けて、Monsterのような求人サイトを利用する人が増えていると考えられている。しかし、利用者が増えるということは、犯罪者に狙われる危険も増えているとも言えるだろう。Monsterでは、Webサイトで安全に就職活動を行うための注意を紹介しているので利用に際して留意したい。
1.フィッシング詐欺
個人情報を求めるようなe-mailには警戒すること。また、フィッシングメールは、金融機関のフィッシングメールなら、すぐに回答しないと、口座が利用できなくなるというような、受信者に考える余裕を与えさせず、慌てて返答するような内容のものが多い。逆に言えば、そのようなメールには警戒すべきということになる。
2.履歴書
社会保険番号、運転免許証番号、生年月日などの、個人情報盗難犯が利用する可能性があるような情報は掲載しない。
3.マネーロンダリング
USAJOBSでも警告しているが、知らないうちにマネーロンダリングなどの犯罪にかかわる可能性もある…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》