RSAセキュリティは2010年2月24日、オンライン詐欺の最新動向を紹介する定例会を開催し、銀行・金融機関以外の法人を対象としたフィッシング詐欺が増えていることを示す例を報告した。具体的には、2010年に入ってからだけで、米国の大学を詐称したフィッシングサイトが9件報告されているという。
米RSA Securityでは、2010年に入ってからだけで9件、大学のフィッシングサイトを確認した。大学ポータルのログイン画面や、Webメールシステムのログイン画面などである。大学各校は同社の顧客ではないため詳細は不明だが、金銭面での被害があったかどうかは報告されていない。また、各校が対策をとったかどうかは不明だが、記事執筆現在ではフィッシングサイトは閉じられている。
大学のフィッシングサイトが急増した背景についてRSAセキュリティでは、単なる素人の悪戯ではなくプロによる金銭目的の犯罪であるという仮定のうえで、学生ローンの利用やアルバイトのあっせんといった学生に固有の利用価値を挙げるとともに、金融機関や企業と比べたセキュリティ意識の低さを指摘した。
大学を狙う理由はさまざまである。例えば、学生の個人情報には、学生になりすまして学生ローンを契約する用途がある。また、学生のメールアカウントを不正に利用すれば、メール送信元の信用を維持したまま、他の学生に(犯罪の片棒を担ぐ)アルバイトをあっせんできる。大学のPCをボット・ネットに組み入れることも視野に入る。
なお、今回同社が報告した事例は大学(教育機関)を対象とした攻撃事例であり、エンタープライズ企業とは直接関係はない。だが、例えばメール送信元を信用してしまうという問題は、SNS(ソーシャルネットワーキングサービス)なども抱えており、企業にとっても遠い話ではない。
写真1:Kansas State University(カンザス州立大学)のポータルサイトを装ったフィッシングサイト
