1. 情報セキュリティブログ ホーム
  2. セキュリティ虫めがね
  3. セキュリティ虫めがね 第6回 そのメール、本当に安全?正規を装うフィッシング詐欺の手法と回避策大解剖

セキュリティ虫めがね 第6回 そのメール、本当に安全?正規を装うフィッシング詐欺の手法と回避策大解剖(1/3)

セキュリティ虫めがね

K子のフレッシュセキュリティ4コマ

クリックで拡大

フィッシング詐欺とは?

 インターネットを利用したセキュリティ被害は増加傾向にありますが、中でも金銭的な被害が多数報告されているのが「フィッシング詐欺」です。フィッシングの表記は、「釣り」を意味する「fishing」ではなく「phishing」ですが、これは、そもそもの「釣り」の意に加え、「ユーザーを釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」ところから来たというのが一般的です。ほかにも、単に同音の言葉を別の表記で言い換えたスラングとされる意見もあり、語源は諸説あります。

 このフィッシング詐欺は、悪意ある第三者(フィッシャー)がオークションサイトや有名企業を装い、偽サイト(フィッシングサイト)へのURLリンクを貼ったメールを送りつけ、クレジットカード番号や銀行口座などのID、パスワードや個人情報を入力させ、盗み出すものです。アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになりました。本人の口座番号を盗み出して他人の口座に不正送金される被害に遭うだけでなく、大手ポータルサイトなどに登録したアカウントが乗っ取られた場合は、偽りの商品をオークションに出品されたり、相手から出品物を盗みとったりするオークション詐欺の片棒を担がされる可能性もあるため一層注意が必要です。

 では、実際の被害件数はどの程度あるのでしょうか。国家公安委員会、総務大臣及び経済産業大臣が2011年3月3日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、警察庁に報告のあった不正アクセス行為を対象にした平成22年度の不正アクセス行為の認知状況では、前年度に比べて減少傾向にあるものの、その手口ではフィッシングサイトを経由してIDなどの識別符号を入手したとされるものが1,411件となり、その割合は全体の88%に。フィッシング詐欺の被害は引き続き高い水準で推移している状況です。

 また、フィッシングに関する情報収集や注意喚起などの活動を行っているフィッシング対策協議会が発表した「フィッシングレポート 2011」によれば、フィッシング情報の報告件数は2011年2月までに対前年度比で約33%増え、フィッシングサイトの件数は対前年度比で約86%増と大幅に増加傾向にあることがわかります。特に、フィッシングサイトのテイクダウン(管理者や法務団体によるWebサイトの強制閉鎖)を回避するなど、フィッシング手法の高度化が進んでいることが影響していると報告されています。同様に、フィッシングによりブランド名を悪用された企業の件数は、2009年度は前年から減少したのに対して、2010年度は対前年度で139%増加しており、フィッシングの対象となるブランド数が増えつつあることを示しています。

【参考リンク】

一般的なフィッシング詐欺の手口

 フィッシング詐欺の一般的な手口は、金融機関やカード会社など信用ある企業を名乗る偽装メール(フィッシングメール)がユーザーに届けられ、「カードの有効期限が切れるので更新してください」など、記述されたURLをクリックするように仕向けられます。クリックした先にはフィッシングサイトが設置されており、本物そっくりに制作されているため、偽物かどうか一目では区別できないよう巧妙に細工されています。このフィッシングサイト上でクレジットカード番号やID・パスワードなどを入力してしまうことで、個人情報が詐取される仕組みです。

 フィッシング詐欺でよく使われてきたフレーズには、「ユーザーアカウントの有効期限が近づいています」「新規サービスへの移行のため、登録内容の再入力をお願いします」「宝くじに当選しました」「48時間以内に返信しないと口座が停止されます」などが挙げられます。中には、「お客様の口座で不審な取引が確認されています。お客様の口座情報を確認してください」といった、フィッシング詐欺への警戒心をそのままフレーズに使っているケースも。IDやパスワードを直接メールで尋ねるのではなく、ワンクッション置いて入力するように仕向ける、という手口がフィッシング詐欺の特徴とも言えます。

 フィッシング詐欺に使われるフィッシングサイトの中には、本物のWebサイトと類似するドメインを利用して、ユーザーを騙そうとするものもあります。一見すると正しいように見えるものでも、一文字違っていたり(Yahoo→Yafoo)、繰り返し出現する文字が異なったり(Google→Gooogle)するURLが実際に存在しています。このフィッシングサイトへ誘導するためのURLは、メールに張り付けて送られてくるケースが多いものの、中には直接URLを入力する人のタイプミスを狙ってフィッシングサイトへ誘導する手口としても使われます。これは「タイポスクワッティング」と呼ばれており、メール以外であってもフィッシング被害に遭う可能性があります。

【参考リンク】

関連キーワード:
  • Morto(モルト)とは
  • カテゴリートップへ
  • 2011年10月のIT総括