【5月7日 AFP】米カリフォルニア州サンディエゴ(San Diego)の連邦地裁は5日、重要な企業情報を盗むための悪意のあるソフトウエアが仕掛けられた偽の召喚状をハッカーが企業経営者たちに送りつけているとして注意を呼びかけた。

 メールに張られたリンクをクリックすると悪意のあるソフトウエアがインストールされ、パスワードなどの機密情報を盗むほか、ハッカーがコンピュータをコントロールできるようになる仕組み。裁判所によれば、このメールはこれまでに米国の有力企業幹部数千人に送りつけられ、その中には銀行大手シティバンク(Citibank)、タイム・ワーナー傘下のAOL、インターネット競売大手イーベイ(eBay)といった有名企業の幹部もいるという。

 偽メールは裁判所の標章を巧妙に利用し、宛先には受取人の氏名、住所などの個人データが使われている。警察によれば文体はイギリス英語風だという。「召喚状」のリンクをクリックすると、もっともらしい見た目の書類が表示され、悪意のあるソフトウエアがインストールされる。

 米国の召喚状は通常、出頭命令を間違いなく本人が受け取ったことを裁判官が確認するため、本人に直接手渡されるが、Websense Security Labs社のStephan Chenette氏は「成功率は驚くほど高い」と語る。「裁判所からのメールを装っているうえ、住所や宛名は本物で、法律用語も使われていて本物の召喚状に見える」

 裁判所は「受け取った人が書類を見ようとすると、キーボードの打ち込みを密かに記録してインターネットを介して送信するソフトウエアを知らずにインストールしてしまう。こうして、ハッカーはパスワードや個人情報、財務情報などを盗み、コンピュータの遠隔操作ができるようになる」と警告する。

 盗まれた機密情報はインターネットの裏社会で集められ、クレジット情報などが売買されている。今回のケースでは、有力な企業幹部が狙われた。

 インターネット・セキュリティーの専門家は、この「大物」だけを狙う方法を、インターネット利用者全般に対して網を張る「フィッシング(phishing)」詐偽に対して、捕鯨を意味する「ホエーリング(whaling)」と呼んでいる。「迷惑メールの手口は非常に巧妙になっている。税務署や裁判所からのメールに見えたとしても油断しないで欲しい」(Chenette氏)

 実際の裁判所のURLは「.gov」で終わるが、偽メールのリンク先アドレスは「uscourts.com」となっているため、このメールを送りつけているハッカーは裁判所のシステムに詳しくないと米捜査当局はみている。(c)AFP