信じる者は騙される!?フィッシング詐欺

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

信じる者は騙される!?フィッシング詐欺

2009/03/03


 自社のWebページにそっくりな偽サイトが突然出現!偽サイトのURLが記載されたメールから、あなたの会社の顧客が偽サイトに誘導されて個人情報やクレジットカード番号の入力が促される。もしも情報を入力してしまえば、その情報を利用した金銭目的の詐欺行為が行われる。これが典型的なフィッシングの手口だ。顧客を守り、自社の信用と名誉を保つために、フィッシング犯罪を未然に防ぐにはどうすればよいか。今回は、典型的なフィッシング詐欺の手口と、ユーザ側での予防対策を紹介する。

フィッシング詐欺

#002

大手オークションサイトのメールに返信したつもりが、IDとパスワードを盗まれた!

 2008年9月、国内の有名オークションサイトからのメールがAさんのもとに届いた。そのメールは「オークションに参加するためにはユーザアカウントの延長登録が必要」という旨を伝えるものだった。書式や注意書きの文面、広告も、いつもの連絡メールそのものだ。Aさんは疑いもせず、メールに記載されているURLをクリックし、そのサイトにアクセスした。するとブラウザには見慣れたバナーとデザインのページが表れた。そこにはユーザ登録を促すフォームがあり、住所や氏名、クレジット番号をはじめ、様々な個人情報の入力が促されている。しかもページ上部にはフィッシングの横行に関する警告文まで記載されている(図1)。
  Aさんはオークション参加を継続するために必要な手続きと思い、各項目に入力し、登録操作をした。しかし、実はこのメールもWebページも、実はオークションサイトとは何のかかわりもない偽のもの。Aさんが入力した内容は、オークションサイトに送られたのではなく、このWebページを設置した「フィッシャー」のもとに送られてしまったのだ。

図1 フィッシングサイトの例
図1 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手オークションサイトを真似たサイト


 後日、Aさんが入力した内容の中のオークションIDとパスワードにより、オークションに架空出品が行われ、落札者から代金をだまし取るという詐欺が行われた。結局、この詐欺を働いたグループは今年1月に特定され、不正アクセス行為の禁止等に関する法律違反、詐欺罪、電磁的記録不正作出・同供用罪で逮捕されることになった。しかしAさんは多大な迷惑を被り、オークションサイトも余計なトラブルに巻き込まれ、情報漏洩(実際はなかったが)を疑われるなど対応に追われる辛さを味わうことになった。


1

メールを利用したフィッシングの手口

 ケースファイルのようなフィッシングは古典的な手口だが、現在でも盛んに行われている。日本でのフィッシング詐欺は米国などに比べると数が少ないものの、ケースファイルにあげたオークションサイトはもとより、大手の銀行(ゆうちょ銀行など)、クレジット会社(UFJカード、オリコカード、ライフカードなど)、有名ポータルサイト(@nifty)、有名SNS(ミクシィ)など、金銭の取引が行われるサイトやユーザが大規模に集まるサイトを利用したフィッシングがほとんど絶え間なく、1ヵ月に平均して7件程度が届出されている(IPAへの届出。統計情報は次回掲載)。クレジットカード会社を騙るフィッシングメールとサイトの実例を図2、図3に示すが、手口は同じだ。

図2 フィッシングメールの例
図2 フィッシングメールの例
(資料提供:フィッシング対策協議会)

+拡大 クレジットカード会社を騙るフィッシングメールの例

図3 フィッシングサイトの例
図3 フィッシングサイトの例
(資料提供:フィッシング対策協議会)

+拡大 大手クレジットカード会社のサイトを真似たサイト


 この手口は非常にシンプルで、次のような形で行われる。

(1)

フィッシャー(フィッシングサイトを設置して情報を盗む攻撃者)は、ターゲットのWebサイトのデータをコピーする。

(2)

コピーしたデータを利用して偽のWebサイト=フィッシングサイトを作成する。

(3)

フィッシングサイトをリンク先としたURLを入れ込んだ誘導メール=フィッシングメールを手当たり次第に送信する。必ずしもターゲット・サイトのユーザの宛先に特定する必要はない。

(4)

フィッシングサイトではユーザの個人情報、アカウント情報、クレジット番号などを入力するように促し、目的の情報を入手する。

(5)

入手した情報を利用して、不正アクセスを行ったり、身元を詐称してオークション詐欺やクレジットカード詐欺をはたらいたりする。

図4 メールを利用した単純なフィッシング詐欺の仕組み
図4 メールを利用した単純なフィッシング詐欺の仕組み
(資料提供:フィッシング対策協議会)

 このような単純な手口のフィッシングは、メールフィルタリングや個人の判断で防止することができる。そのポイントは次の3つだ。

1-1

フィッシング予防ポイント1:フィッシングメールが届かないようにする

 フィッシングメールが届かないようにするには、メールフィルタリングが役に立つ。アンチウイルスソフトなどのセキュリティツールが、既知のフィッシングメール送信元のデータベースを参照し、ブラックリストとして登録されている送信元からのメールをブロックする。ISPでも同じように対応してくれる場合がある。とはいえ、フィッシャーが送信元を詐称するのは常套手段であり、ツールやボットを利用して簡単にブラックリスト登録外の送信元を生成してメール送信を行うため、実際にはフィッシングメールの数を少なくする役割を果たしているに過ぎない。そこで、内容の類似性評価という方法でフィッシングメールか否かを自動的に判別するメールフィルタリングツールもある。しかしこちらも万全とはいえず、最終的にはユーザの判断がどうしても必要になる。

セキュリティ情報局にご登録頂いた方限定で「信じる者は騙される!?フィッシング詐欺」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

フィッシング詐欺/信じる者は騙される!?フィッシング詐欺」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「フィッシング詐欺」関連情報をランダムに表示しています。

フィッシング詐欺」関連の製品

エフセキュア モバイル セキュリティ ビジネス 【ソフトバンク コマース&サービス】 エフセキュア プロテクション サービス ビジネス(PSB) 【ソフトバンク コマース&サービス】 法律家に聞いた!不正送金への対策と、被害に遭ったらすべきこと 【KDDI】
アンチウイルス アンチウイルス 認証
1988年から30年近くITセキュリティソリューションを世界中に提供しているエフセキュアのモバイルセキュリティ。既に10年以上の実績を持つパイオニア的存在。 Windows PC、Mac、スマートフォンなど、幅広いデバイスおよびサーバプラットフォームのセキュリティを保護可能な多機能セキュリティソリューション。サンドボックス搭載。 法律の専門家に聞いてみた:もし不正送金されたらどうなる?

フィッシング詐欺」関連の特集


警察庁発表の調査データから、盗聴被害の現状を報告。さらに、IP電話に欠かせないSIPを狙った攻撃手法…



TwitterやFacebookなど、SNS(ソーシャルネットワークサービス)の普及で投稿内容による…



無線LANは普及したが、セキュリティ対策はどうだろうか?多くの企業で時代遅れな“常識”を信じていない…


フィッシング詐欺」関連のセミナー

エンドポイントトレンドセミナー2017 【NECキャピタルソリューション】 締切間近 

開催日 5月25日(木)   開催地 東京都   参加費 無料

“標的型攻撃対策”、“長時間労働削減”、“Windows 10暗号化” のトレンドテーマから、エンドポイントデバイスの有効活用について、弊社サービスパートナー…

標的型メール攻撃から自社を守る具体的手段とは 【NRIセキュアテクノロジーズ】  

開催日 6月16日(金)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003067


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ