多様化するフィッシング手口にご用心

オンラインバンキングやオンラインショッピング事業者などを装い、本物そっくりの偽メールやサイトを使って、不特定多数のインターネットユーザーから個人情報などを盗み取る「フィッシング」。盗んだ個人情報から、現金を引き出したり、クレジットカードを不正利用し物品を購入、転売するなど深刻な金銭的被害が懸念されています。

そうしたフィッシング・サイトの誘導先に、無線LANの「偽アクセスポイント」が悪用される可能性があるというニュースが報じられました。

・公衆無線LANサービスの落とし穴――偽アクセスポイントに気を付けろ(IT Pro)

記事によると、同じSSIDのアクセスポイントがあると、より信号の強いアクセスポイントに接続する無線LAN端末の特性を悪用し、同じSSIDを付けた偽のアクセスポイントを設置すれば、ユーザーを誘導できる可能性があるというもの。もし、ユーザーが気づかずにアクセスしてしまうと、偽アクセスポイントで、電子メールの内容やアクセスしたWebサイトの情報、ユーザー名・パスワードなどを横取りされてしまう危険性があります。

一般的に、個人レベルでのフィッシング対応策としては、

　・ポップアップウィンドウで入力画面が現れたら、安易に信頼してはいけない
　・心当たりのないメールやインスタントメッセージのファイルを不用意に開かない
　・PCのセキュリティ対策(OSの更新、ウイルスソフト)の実施
　・メールで個人情報を送信しない
　・個人情報を入力する際は、そのページのURL、SSLの鍵マークなどの目視確認

などがあります。無線LANユーザーは、特に５番目のSSLの鍵マークの目視確認など、今まで以上に慎重に対応が必要になってくるでしょう。

また、代表的なフィッシングの手法は、メール経由で偽物のサイトに誘導し、そこで個人情報を入力させるというものでした。最近では、メールの添付ファイルにワームやスパイウエアを仕込んで、本人が知らないうちにIDやパスワードを収集するという手口も、数多く報告されています。

一方で、こんな変わった手口があるというニュースもありました。騙す側もより巧妙になっているので、日々、注意が必要ですね。

・フィッシングの新手口が出現--ファクスで個人情報の送信求める(ZDNet Japan)