信じる者は騙される!?フィッシング詐欺

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

信じる者は騙される!?フィッシング詐欺

2009/03/03


 自社のWebページにそっくりな偽サイトが突然出現!偽サイトのURLが記載されたメールから、あなたの会社の顧客が偽サイトに誘導されて個人情報やクレジットカード番号の入力が促される。もしも情報を入力してしまえば、その情報を利用した金銭目的の詐欺行為が行われる。これが典型的なフィッシングの手口だ。顧客を守り、自社の信用と名誉を保つために、フィッシング犯罪を未然に防ぐにはどうすればよいか。今回は、典型的なフィッシング詐欺の手口と、ユーザ側での予防対策を紹介する。
フィッシング詐欺

#002

大手オークションサイトのメールに返信したつもりが、IDとパスワードを盗まれた!

 2008年9月、国内の有名オークションサイトからのメールがAさんのもとに届いた。そのメールは「オークションに参加するためにはユーザアカウントの延長登録が必要」という旨を伝えるものだった。書式や注意書きの文面、広告も、いつもの連絡メールそのものだ。Aさんは疑いもせず、メールに記載されているURLをクリックし、そのサイトにアクセスした。するとブラウザには見慣れたバナーとデザインのページが表れた。そこにはユーザ登録を促すフォームがあり、住所や氏名、クレジット番号をはじめ、様々な個人情報の入力が促されている。しかもページ上部にはフィッシングの横行に関する警告文まで記載されている(図1)。
  Aさんはオークション参加を継続するために必要な手続きと思い、各項目に入力し、登録操作をした。しかし、実はこのメールもWebページも、実はオークションサイトとは何のかかわりもない偽のもの。Aさんが入力した内容は、オークションサイトに送られたのではなく、このWebページを設置した「フィッシャー」のもとに送られてしまったのだ。
図1 フィッシングサイトの例
図1 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手オークションサイトを真似たサイト


 後日、Aさんが入力した内容の中のオークションIDとパスワードにより、オークションに架空出品が行われ、落札者から代金をだまし取るという詐欺が行われた。結局、この詐欺を働いたグループは今年1月に特定され、不正アクセス行為の禁止等に関する法律違反、詐欺罪、電磁的記録不正作出・同供用罪で逮捕されることになった。しかしAさんは多大な迷惑を被り、オークションサイトも余計なトラブルに巻き込まれ、情報漏洩(実際はなかったが)を疑われるなど対応に追われる辛さを味わうことになった。


1

メールを利用したフィッシングの手口

 ケースファイルのようなフィッシングは古典的な手口だが、現在でも盛んに行われている。日本でのフィッシング詐欺は米国などに比べると数が少ないものの、ケースファイルにあげたオークションサイトはもとより、大手の銀行(ゆうちょ銀行など)、クレジット会社(UFJカード、オリコカード、ライフカードなど)、有名ポータルサイト(@nifty)、有名SNS(ミクシィ)など、金銭の取引が行われるサイトやユーザが大規模に集まるサイトを利用したフィッシングがほとんど絶え間なく、1ヵ月に平均して7件程度が届出されている(IPAへの届出。統計情報は次回掲載)。クレジットカード会社を騙るフィッシングメールとサイトの実例を図2、図3に示すが、手口は同じだ。

図2 フィッシングメールの例
図2 フィッシングメールの例
(資料提供:フィッシング対策協議会)

+拡大 クレジットカード会社を騙るフィッシングメールの例

図3 フィッシングサイトの例
図3 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手クレジットカード会社のサイトを真似たサイト


 この手口は非常にシンプルで、次のような形で行われる。

(1)

フィッシャー(フィッシングサイトを設置して情報を盗む攻撃者)は、ターゲットのWebサイトのデータをコピーする。

(2)

コピーしたデータを利用して偽のWebサイト=フィッシングサイトを作成する。

(3)

フィッシングサイトをリンク先としたURLを入れ込んだ誘導メール=フィッシングメールを手当たり次第に送信する。必ずしもターゲット・サイトのユーザの宛先に特定する必要はない。

(4)

フィッシングサイトではユーザの個人情報、アカウント情報、クレジット番号などを入力するように促し、目的の情報を入手する。

(5)

入手した情報を利用して、不正アクセスを行ったり、身元を詐称してオークション詐欺やクレジットカード詐欺をはたらいたりする。
図4 メールを利用した単純なフィッシング詐欺の仕組み
図4 メールを利用した単純なフィッシング詐欺の仕組み
(資料提供:フィッシング対策協議会)

 このような単純な手口のフィッシングは、メールフィルタリングや個人の判断で防止することができる。そのポイントは次の3つだ。

1-1

フィッシング予防ポイント1:フィッシングメールが届かないようにする

 フィッシングメールが届かないようにするには、メールフィルタリングが役に立つ。アンチウイルスソフトなどのセキュリティツールが、既知のフィッシングメール送信元のデータベースを参照し、ブラックリストとして登録されている送信元からのメールをブロックする。ISPでも同じように対応してくれる場合がある。とはいえ、フィッシャーが送信元を詐称するのは常套手段であり、ツールやボットを利用して簡単にブラックリスト登録外の送信元を生成してメール送信を行うため、実際にはフィッシングメールの数を少なくする役割を果たしているに過ぎない。そこで、内容の類似性評価という方法でフィッシングメールか否かを自動的に判別するメールフィルタリングツールもある。しかしこちらも万全とはいえず、最終的にはユーザの判断がどうしても必要になる。

1 2  次のページへ »

セキュリティ情報局にご登録頂いた方限定で「信じる者は騙される!?フィッシング詐欺」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。

試しに読んでみる
続きを読むには…
 

関連キーワード

フィッシング詐欺/信じる者は騙される!?フィッシング詐欺」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「フィッシング詐欺」関連情報をランダムに表示しています。

フィッシング詐欺」関連の製品

メールセキュリティソリューション Proofpoint 【日商エレクトロニクス】 DNS防御のベストプラクティス――脅威対策の導入と同時に実行すべき6つの項目 【アカマイ・テクノロジーズ】 CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】
メールセキュリティ フィルタリング メールセキュリティ
クラウド型サンドボックスによりメールを介した未知の標的型サイバー攻撃を検知し、悪意ある添付ファイルやURLをブロックする「Targeted Attack Protection」などを提供。 DNS防御のベストプラクティス――脅威対策の導入と同時に実行すべき6つの項目 送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。

フィッシング詐欺」関連の特集


無線LANは普及したが、セキュリティ対策はどうだろうか?多くの企業で時代遅れな“常識”を信じていない…



あの手この手の“騙しテクニック”で個人情報を奪おうとするフィッシング詐欺。複雑化した最近の攻撃傾向に…



情報流出、データ改ざん…Webサイトを狙う攻撃は後を絶ちません。実際の被害事例から現状のセキュリティ…


フィッシング詐欺」関連のセミナー

最新ウェブ and メールセキュリティ対策セミナー 【バラクーダネットワークスジャパン】  

開催日 4月25日(水)   開催地 東京都   参加費 無料

2018年1月、IPA発表の「情報セキュリティ10大脅威2018」では、組織における10大脅威のうち、新たに「ビジネスメール詐欺」と「脆弱性対策情報の公開に伴い…

「ネットワークセキュリティ」関連 製品レポート一覧

IPS(49)

WAF(36)

ファイアウォール(42)

検疫(43)

IDS(22)

セキュリティ診断(37)

UTM(48)

その他ネットワークセキュリティ関連(76)


このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003067


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ