【IT】 「登録済み」表示によるメールアドレス漏れ、それに伴う個人情報漏れの可能性

1 ：めいろさん(050716)φ ★：2005/05/27(金) 14:32:17 ID:???

スパム業者やフィッシング業者が、より効率的な攻撃を仕掛けるために、
ターゲットとなり得るユーザーの情報を収集し始めている。

セキュリティ企業Blue Securityが今週発表した調査レポートによると、攻撃者は、
パスワード確認や登録のために電子メールアドレスを利用しているウェブサイトを標的としているという。
そのため、こうしたサイトから個人情報が流出する可能性があると、同社は言う。

攻撃者はこうして多数のウェブサイトから情報を収集し、それをもとに悪質な電子メールをターゲットに送りつける。
インターネットユーザーにとって、こうした偽のメールや詐欺に関係するメッセージを、
攻撃者から送りつけられたものだと見分けるのは容易ではない。
また専門家は、カスタマイズされたメッセージは、スパムフィルターでも検知が困難だと指摘している。

登録／パスワード確認用の電子メールが悪用されやすい理由は、企業によるユーザーへの回答方法にある。
オンライン企業の大半では、自社のウェブサイトに電子メールが登録されると、
「このアドレスはすでに登録済みです」などのような定型的なメッセージをユーザーに返している。
攻撃者にとって、こうしたメッセージは、そこに記載されたアドレスが正規顧客のものであるという証拠になるのだ。

サイバー犯罪者らは、任意の電子メールアドレスが登録されているウェブサイトを参照することで、
そのアドレスのユーザーの性別や性的な嗜好、政治思想、所在地、趣味、買い物をしたことのあるオンラインストアといった
情報を探り出していると、Blue SecurityのCEOであるEran Reshefは警鐘を鳴らしている。

「自分が登録したことのあるあらゆるウェブサイトを、誰かに把握されていると想像してみてほしい。
そこから人は何を推測することができるだろうか。実際のところ、こうした情報すべてを1つにすると、
任意の人物に関する断片的な事実どころか、非常に詳細なプロフィールができあがるのだ」

http://japan.cnet.com/news/sec/story/0,2000050480,20083927,00.htm