セキュリティ企業のRSAセキュリティは2008年9月26日、同社の観測データを基に、2008年8月のフィッシング詐欺の動向などを発表した。それによると、同社がワールドワイドで確認したフィッシング攻撃(フィッシング詐欺目的の偽サイト)は7099件で、ここ最近では「記録的な少なさ」。原因は、オンライン犯罪組織「Rock Phish」が、攻撃用のインフラ(ボットネット)をアップグレードしている最中であるためだと推測している。

 RSAセキュリティによれば、月間のフィッシング攻撃数は、2008年4月の1万5002件をピークに減少しているという(図1)。特に、2008年6月以降は急減。2008年8月に確認した件数は7099件で、過去1年間では最も少ない。この理由として同社では、通常はフィッシング攻撃の過半数を仕掛けているRock Phishが、インフラ整備のために手を緩めているためだと推測する。

 Rock Phishとは、“正体不明”のオンライン犯罪組織。RSAセキュリティでは、フィッシング詐欺の過半数は彼らによって行われているとして、以前から警告している。同社の観測によれば、Rock Phishはいくつかのボットネットをフィッシング詐欺のインフラとして利用。ボットネットに偽サイトを構築したり、ボットネットを使ってフィッシング目的の偽メール(フィッシングメール)を送信したりしている。

 現在、Rock Phishではそのボットネットをアップグレード中。そのために、7月および8月は、Rock Phishによる攻撃が鳴りを潜めていたのだろうという。また、新たなインフラは「Asprox」と呼ばれるボットネットで、これを構成するボット(ウイルス)は、SQLインジェクション攻撃によってまき散らされているという。

 具体的には、Rock PhishはSQLインジェクション攻撃で正規のWebサイトへ侵入してWebページを改ざん。ボットに感染するようなわなを仕掛ける。このため、脆弱(ぜいじゃく)性のあるパソコンでそのサイトにアクセスすると、ボットに感染し、そのパソコンはボットネット(Asprox)に組み込まれてしまう。

 以上のように、攻撃件数の減少は一時的なもので、インフラのアップグレードが完了すれば、以前と同様の攻撃レベルに戻るだろうとRSAセキュリティではみている。

 一方、日本国内で確認されたフィッシングサイト数は217件で過去最多(図2)。同社では、今後も、国内の脆弱なWebサーバーが不正侵入されてフィッシングサイトを構築される可能性があるとして、注意を呼びかけている。