phishingと言う単語を最近耳にするようになりました。読みは「フィッシング」と釣りの「fishing」と同じですが、意味は全く楽しくないようです...
このphishingは偽メールを使って偽サイトにユーザーを誘導させ、そこでIDやパスワードを入力させ裏で取得するという方法らしいですが、今回はセキュリティホールを使ってユーザーに入力させずとも自動的にインストールさせたキー・ロガーから勝手に送信するようにしちゃうそうです。おー恐っ
今回警告されたフィッシングでは、偽のメールに記述されたリンクをクリックすると、個人情報の入力を求めるWebページではなく、Outlook Expressのセキュリティ・ホールを突くWebページに誘導される。セキュリティ・ホールがあるマシンでそのページにアクセスすると、キー・ロガーを勝手にインストールされてしまう。キー・ロガーはユーザーが入力したIDやパスワードなどの個人情報を“フィッシャー”に送信する。
APWGでは、「今回のケースは、フィッシングとスパイウエアのアプローチを組み合わせたものなので興味深い」としている。