フィッシング詐欺の最新手口とは

Tweet

本物そっくりの偽サイトを仕込んで、不特定多数のユーザーから個人情報などを盗み取ろうとするフィッシング詐欺。その手口は日々巧妙になってきているので注意が必要です。

・「正規の証明書を持っているサイトも信用するな」、フィッシング研究者が警告(IT Pro)

正規のサーバー証明書を使ったフィッシング・サイト登場しているというニュースです。

　これまで正規のサーバー証明書があれば、フィッシング・サイトである可能性は低いと考えられてきた。というのも、正規のサーバー証明書を取得するには、企業の身元を証明する必要があったからだ。身元を明らかにしたくない犯罪者にとって、サーバー証明書を取得するのはリスクが高い。ところが星澤氏によれば「電子メールのやり取りだけで、サーバー証明書を取得できるサービスが最近登場しており、これを使えば身元をほとんど明らかにする必要がない」のだという。

個人情報を入力させるWebサイトにおいては、正規のサーバー証明書を使って暗号化しているWebサイトであれば、ブラウザの右下に「鍵」のマークのアイコンが表示されるため、それを目視確認することで、本物のサイトであるという一応の目安になってきました。

しかし、上記のように、悪意の犯罪者であっても正規のサーバー証明書が入手できる可能性があるため、今まで以上に“偽物だと気づきにくい”サイトが作られる危険性があります。ブラウザのURL欄の表示や右下の「鍵マーク」の確認だけでは、万全とはいえません。

記事によると、このほかにも「2度目にアクセスすると正規のサイトにリダイレクトするフィッシング・サイトも登場している」とのことで、今後、ますます発覚しづらい手口が登場することが懸念されます。

ユーザーとしては、OSのパッチを適用したり、対策ソフトを最新に更新するといった基本的なルールはもちろん、不審なメールは開封しない、怪しいメールに記されたリンク先のURLへはジャンプしない、Web上で個人情報を入力する際は細心の注意を払うといった対策を心がけることが肝要です。