信じる者は騙される！？フィッシング詐欺

2009/03/03

　自社のWebページにそっくりな偽サイトが突然出現！偽サイトのURLが記載されたメールから、あなたの会社の顧客が偽サイトに誘導されて個人情報やクレジットカード番号の入力が促される。もしも情報を入力してしまえば、その情報を利用した金銭目的の詐欺行為が行われる。これが典型的なフィッシングの手口だ。顧客を守り、自社の信用と名誉を保つために、フィッシング犯罪を未然に防ぐにはどうすればよいか。今回は、典型的なフィッシング詐欺の手口と、ユーザ側での予防対策を紹介する。

ケースファイル編	統計データ編
信じる者は騙される！？フィッシング詐欺掲載日：2009/03/03	続々登場！フィッシング詐欺の新手口掲載日：2009/03/17

#002

大手オークションサイトのメールに返信したつもりが、IDとパスワードを盗まれた！

　2008年9月、国内の有名オークションサイトからのメールがAさんのもとに届いた。そのメールは「オークションに参加するためにはユーザアカウントの延長登録が必要」という旨を伝えるものだった。書式や注意書きの文面、広告も、いつもの連絡メールそのものだ。Aさんは疑いもせず、メールに記載されているURLをクリックし、そのサイトにアクセスした。するとブラウザには見慣れたバナーとデザインのページが表れた。そこにはユーザ登録を促すフォームがあり、住所や氏名、クレジット番号をはじめ、様々な個人情報の入力が促されている。しかもページ上部にはフィッシングの横行に関する警告文まで記載されている（図1）。
　 Aさんはオークション参加を継続するために必要な手続きと思い、各項目に入力し、登録操作をした。しかし、実はこのメールもWebページも、実はオークションサイトとは何のかかわりもない偽のもの。Aさんが入力した内容は、オークションサイトに送られたのではなく、このWebページを設置した「フィッシャー」のもとに送られてしまったのだ。

図1 フィッシングサイトの例

	（資料提供：フィッシング対策協議会）

大手オークションサイトを真似たサイト

　後日、Aさんが入力した内容の中のオークションIDとパスワードにより、オークションに架空出品が行われ、落札者から代金をだまし取るという詐欺が行われた。結局、この詐欺を働いたグループは今年1月に特定され、不正アクセス行為の禁止等に関する法律違反、詐欺罪、電磁的記録不正作出・同供用罪で逮捕されることになった。しかしAさんは多大な迷惑を被り、オークションサイトも余計なトラブルに巻き込まれ、情報漏洩（実際はなかったが）を疑われるなど対応に追われる辛さを味わうことになった。

ファーミングを利用したフィッシング

　メールを使用しないフィッシングも横行している。フィッシングサイトに誘導するのは同じだが、ユーザはまったく気がつかず、正規のサイトにアクセスしているつもりで偽のサイトにアクセスしてしまうものだ。その手口は「ファーミング」と呼ばれる。
　ファーミングの主な方法は2つある。1つは、ユーザのPCをスパイウェアに感染させ、その働きでhostsファイル（Windows XPならC: WINDOWS system32 drivers etcにある）を書き換え、正規のアドレスが入力されてもそれを偽サイトのIPアドレスにしてしまう方法、もう１つはDNSキャッシュサーバに偽の情報を仕込むことにより、正規アドレスの名前解決の際に偽のIPアドレスを返すようにする方法（DNSキャッシュ・ポイズニング）だ。

2-1		フィッシング予防ポイント4：スパイウェア対策ツールを有効に使う

　前者に対しては、アンチウイルスツールなどの機能として備わっているスパイウェア対策機能を有効に利用し、PCにボットなどのスパイウェアが侵入しないようにすることが最も大切だ。常にパターンファイルの更新を行い、全ドライブのスキャンを行うことが推奨される。

« 前のページ 1 2

セキュリティ情報局にご登録頂いた方限定で｢信じる者は騙される！？フィッシング詐欺｣の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。