信じる者は騙される!?フィッシング詐欺

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

信じる者は騙される!?フィッシング詐欺

2009/03/03


 自社のWebページにそっくりな偽サイトが突然出現!偽サイトのURLが記載されたメールから、あなたの会社の顧客が偽サイトに誘導されて個人情報やクレジットカード番号の入力が促される。もしも情報を入力してしまえば、その情報を利用した金銭目的の詐欺行為が行われる。これが典型的なフィッシングの手口だ。顧客を守り、自社の信用と名誉を保つために、フィッシング犯罪を未然に防ぐにはどうすればよいか。今回は、典型的なフィッシング詐欺の手口と、ユーザ側での予防対策を紹介する。
フィッシング詐欺

#002

大手オークションサイトのメールに返信したつもりが、IDとパスワードを盗まれた!

 2008年9月、国内の有名オークションサイトからのメールがAさんのもとに届いた。そのメールは「オークションに参加するためにはユーザアカウントの延長登録が必要」という旨を伝えるものだった。書式や注意書きの文面、広告も、いつもの連絡メールそのものだ。Aさんは疑いもせず、メールに記載されているURLをクリックし、そのサイトにアクセスした。するとブラウザには見慣れたバナーとデザインのページが表れた。そこにはユーザ登録を促すフォームがあり、住所や氏名、クレジット番号をはじめ、様々な個人情報の入力が促されている。しかもページ上部にはフィッシングの横行に関する警告文まで記載されている(図1)。
  Aさんはオークション参加を継続するために必要な手続きと思い、各項目に入力し、登録操作をした。しかし、実はこのメールもWebページも、実はオークションサイトとは何のかかわりもない偽のもの。Aさんが入力した内容は、オークションサイトに送られたのではなく、このWebページを設置した「フィッシャー」のもとに送られてしまったのだ。
図1 フィッシングサイトの例
図1 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手オークションサイトを真似たサイト


 後日、Aさんが入力した内容の中のオークションIDとパスワードにより、オークションに架空出品が行われ、落札者から代金をだまし取るという詐欺が行われた。結局、この詐欺を働いたグループは今年1月に特定され、不正アクセス行為の禁止等に関する法律違反、詐欺罪、電磁的記録不正作出・同供用罪で逮捕されることになった。しかしAさんは多大な迷惑を被り、オークションサイトも余計なトラブルに巻き込まれ、情報漏洩(実際はなかったが)を疑われるなど対応に追われる辛さを味わうことになった。


1

メールを利用したフィッシングの手口

 ケースファイルのようなフィッシングは古典的な手口だが、現在でも盛んに行われている。日本でのフィッシング詐欺は米国などに比べると数が少ないものの、ケースファイルにあげたオークションサイトはもとより、大手の銀行(ゆうちょ銀行など)、クレジット会社(UFJカード、オリコカード、ライフカードなど)、有名ポータルサイト(@nifty)、有名SNS(ミクシィ)など、金銭の取引が行われるサイトやユーザが大規模に集まるサイトを利用したフィッシングがほとんど絶え間なく、1ヵ月に平均して7件程度が届出されている(IPAへの届出。統計情報は次回掲載)。クレジットカード会社を騙るフィッシングメールとサイトの実例を図2、図3に示すが、手口は同じだ。

図2 フィッシングメールの例
図2 フィッシングメールの例
(資料提供:フィッシング対策協議会)

+拡大 クレジットカード会社を騙るフィッシングメールの例

図3 フィッシングサイトの例
図3 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手クレジットカード会社のサイトを真似たサイト


 この手口は非常にシンプルで、次のような形で行われる。

(1)

フィッシャー(フィッシングサイトを設置して情報を盗む攻撃者)は、ターゲットのWebサイトのデータをコピーする。

(2)

コピーしたデータを利用して偽のWebサイト=フィッシングサイトを作成する。

(3)

フィッシングサイトをリンク先としたURLを入れ込んだ誘導メール=フィッシングメールを手当たり次第に送信する。必ずしもターゲット・サイトのユーザの宛先に特定する必要はない。

(4)

フィッシングサイトではユーザの個人情報、アカウント情報、クレジット番号などを入力するように促し、目的の情報を入手する。

(5)

入手した情報を利用して、不正アクセスを行ったり、身元を詐称してオークション詐欺やクレジットカード詐欺をはたらいたりする。
図4 メールを利用した単純なフィッシング詐欺の仕組み
図4 メールを利用した単純なフィッシング詐欺の仕組み
(資料提供:フィッシング対策協議会)

 このような単純な手口のフィッシングは、メールフィルタリングや個人の判断で防止することができる。そのポイントは次の3つだ。

1-1

フィッシング予防ポイント1:フィッシングメールが届かないようにする

 フィッシングメールが届かないようにするには、メールフィルタリングが役に立つ。アンチウイルスソフトなどのセキュリティツールが、既知のフィッシングメール送信元のデータベースを参照し、ブラックリストとして登録されている送信元からのメールをブロックする。ISPでも同じように対応してくれる場合がある。とはいえ、フィッシャーが送信元を詐称するのは常套手段であり、ツールやボットを利用して簡単にブラックリスト登録外の送信元を生成してメール送信を行うため、実際にはフィッシングメールの数を少なくする役割を果たしているに過ぎない。そこで、内容の類似性評価という方法でフィッシングメールか否かを自動的に判別するメールフィルタリングツールもある。しかしこちらも万全とはいえず、最終的にはユーザの判断がどうしても必要になる。

1 2  次のページへ »

セキュリティ情報局にご登録頂いた方限定で「信じる者は騙される!?フィッシング詐欺」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。

試しに読んでみる
続きを読むには…
 

関連キーワード

フィッシング詐欺/信じる者は騙される!?フィッシング詐欺」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「フィッシング詐欺」関連情報をランダムに表示しています。

フィッシング詐欺」関連の製品

MobiControl 【ソフトバンク コマース&サービス】 高水準SSLサーバ証明書 SureServer/SureServer EV 【ソフトバンク コマース&サービス】 エフセキュア プロテクション サービス ビジネス(PSB) 【ソフトバンク コマース&サービス】
MDM 認証 アンチウイルス
ハンディターミナルを含むマルチOSに対応し、セキュリティの確保と業務端末運用の効率化を実現するMDM(モバイルデバイス管理)。 世界で高い評価を受けるSSLサーバ証明書。証明書の発行にありがちな煩雑な手続きを極力省き、確かな企業審査を行った信頼性の高い証明書をスピーディに発行する。 Windows PC、Mac、スマートフォンなど、幅広いデバイスおよびサーバプラットフォームのセキュリティを保護可能な多機能セキュリティソリューション。サンドボックス搭載。

フィッシング詐欺」関連の特集


 前回は、情報漏洩などのリスクを排除する機能を取り入れた新しい総合的な脅威への対策としてエンドポイン…



ちょっとしたミスにつけこんで悪意あるサイトに誘導するケースが増えています。シュワ知事も実施済みという…



 2015年6月、IPAがランサムウェアに関する注意喚起を促し、さらに同年末にvvvウィルスというラ…


フィッシング詐欺」関連のセミナー

Webサイトの脆弱性って何だ!? 【ソフトクリエイト】  

開催日 6月29日(木)   開催地 東京都   参加費 無料

企業の成長に欠かせない企業のWebサイト。ほとんどの企業が自社のWebサイトを開設しています。そして今、Webサイトの脆弱性を突いた攻撃が多発しています。これら…

「ネットワークセキュリティ」関連 製品レポート一覧

IPS(43)

WAF(44)

ファイアウォール(47)

検疫(44)

IDS(19)

セキュリティ診断(25)

UTM(51)

その他ネットワークセキュリティ関連(59)


このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003067


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ