［コラム：Spencer F. Katt］
ご注意！オークションユーザーのパスワードを狙う偽メール出現

2002/8/10

　オンラインオークションサイトのユービッド（Ubid）をよく利用するというユーザーから先週、吾輩のもとに緊急情報が届けられた。それによると、最近、ユービッド会員のパスワード詐取を目的とする悪質なメールが出現したらしい。

　そのメールだけど、件名には「Ubid--security, please follow instructions」とあるそうだ。つまり、セキュリティのため、受取人はメールに書かれた手順を実行しろ、というのである。

　で、本文には、なにやら怪しげなサイトへのリンクが張られている。そのサイトというのが、ユービッドのホームページにそっくりな、いんちきサイトなのである。うっかり信用してしまったユーザーは、そこでログインIDとパスワードの入力を求められるという仕組みだ……。

　とんだ災難に見舞われたユービッドのスポークスウーマンは、吾輩の取材にこう答えた。

「実際のところ、騙された人はほとんどいません。が、すぐに対策は講じました。まず電子メールでオークションのアクティブユーザー全員に詐欺メールに関する警報を流し、もし実際にログインIDとパスワードを入力してしまった場合は、直ちに連絡していただくようお願いしました」

　もし偽サイトで個人情報を騙し取られた場合、ユーザーアカウントを即座に無効にしてくれるそうだ。またUbidでは、安全性が保証されていない電子メールで機密性の高い情報を顧客に求めることはあり得ない、とユーザーに注意を喚起している。

　ふむ。で、問題は、いったい誰がこんな手の込んだスキームをセットアップし、偽サイトまで用意してユーザーのアドレスにアクセスしたのか？ってことだな。

　「偽サイトを提供していたISPには、すぐ連絡してサイトを閉鎖するよう依頼しましたが、事件の詳細については現在なお調査中です」（スポークスウーマン）と、ユービッドでは困惑した様子だった。

　セキュリティといえば、先週ラスベガスで開催されたブラックハット主催のセキュリティ関連イベントは愉快だった。とくに面白かったのは、参加者の注目を一手に集めたウィンドウが、じつはマイクロソフトのウィンドウではなく、会場となったシーザース・パレスの“トップレス”スイミングプールがバッチリ覗き込めるウィンドウだったことだ。

　セッションが始まる前の休憩時間中、主に男性参加者の間で、最高のビューポイントをめぐって激しい争奪戦が繰り広げられたのは言うまでもない。

　吾輩は、窓辺にひしめくセキュリティ・マニアたちが、そのうちウィンドウに鼻を押し付けて、スクロールバーを探し出すかもしれないと、ワクワクしながら眺めていた。

　そういえば、セキュリティの専門家たちは、会場で思い思いに洒落た文字入りのTシャツを着ていた。吾輩が気に入ったのは、「Got DeCSS?」と「Feds LOpht」と「Owned by a foreign host」だった。