事例Use case

サイバーセキュリティの基礎知識:フィッシング詐欺(P)について

2019.11.20

ツイート シェア 送る はてブ

p-for-phishing-en_fullsize_distr-990x518.png
普段使っているオンラインアカウントは、私たちのデジタル身分証明書と言えます。会話、資産情報、検索履歴、後で見るためにブックマークした猫の写真などが保存されています。そのため、厳重に保管されているオンラインアカウントは、ユーザーだけでなく、ハッカーの格好のターゲットでもあります。

簡単に説明すると、フィッシングとは第三者が信頼できる機関になりすまし、ユーザーから機密性の高い情報を盗もうとする詐欺行為です。通常、フィッシング詐欺にはEメールやチャットアプリが使用されますが、SNSやブログなどに投稿されたメッセージにフィッシングサイトにつながるリンクをこっそり忍び込ませている場合もあります。

フィッシング詐欺の仕組み

従来のフィッシング詐欺は、銀行やEメールサービスプロバイダなど、ユーザーが契約中の機関になりすましEメールを送信します。本来であれば、メッセージ内に貼ってあるリンクをクリックすると個人情報を確認することを求められ、従わない場合はアカウントの停止や解約が発生します。メールを受け取ったユーザーが本物だと思うように、フィッシングメールには通常、なりすました機関のロゴやシンボルといったVI(ビジュアル・アイデンティティ)が表示されています。

しかし、フィッシング詐欺の場合は、リンクをクリックすると本来の銀行Webページではなく、ハッカーのWebサイトが表示されます。入力した情報はすべてハッカーに送信され、アカウントへの不正アクセスに使用されてしまいます。アカウントを乗っ取ったハッカーは、さまざまな方法でアカウントを悪用しようとします。例えばインターネット・バンキングのWebサイトの場合、ハッカーがユーザーのアカウントから支払いや送金を行う可能性があります。他にもEメールアカウントを悪用し、個人的な会話にアクセスしたり、他のユーザーにスパムメールを送信することも可能です。

フィッシングメールをすばやく特定する方法

フィッシングメールの受信が増えるにつれ、これらのメールをすばやく特定する方法が身に付くようになります。例えば、メールの文章にはかなりの誤字や不自然な表現があります。これは主に、ハッカーの母国語が日本語ではないということを意味しています。さらにメールが特定の人向けではありませんので、メールの1文目が氏名やユーザー名ではなく、ほとんどが「お客様各位」から始まっています。正規のサービスプロバイダが送信するメールとは異なり、フィッシングメールの場合は、氏名やユーザー名が記載されていません。フィッシングメールは、特定の受信者を対象にしているのでなく全ての受信者をだますことを目的としています。攻撃者は、受信者をそれぞれ把握してはおらず、受信者が各サービスのアカウントを持っていることを期待しているだけなのです。

ユーザーがクリックすることを想定したリンクも、各サービスへのアクセス時にユーザーがブラウザに入力しているURLとは異なります。多くは、URLの先頭がIPアドレスになっています。

フィッシング詐欺から身を守る方法

フィッシング対策は、多層構造で対処します。第一層は、スパムフィルタです。この機能は通常、ウイルス対策製品に搭載されており、迷惑メールをフィルタリングして正規のメールと分別します。優れたスパムフィルタはフィッシングメールを早い段階でブロックするため、受信したフィッシングメールをユーザーが目にすることさえありません。

第二層は、フィッシング対策モジュールまたは詐欺対策モジュールです。これは、ウイルス対策の別のコンポーネントであり、ユーザーがアクセスしているWebページを分析し、これらのWebページがユーザーデータを盗難しようとしているかを判断します。ユーザーが詐欺にだまされてフィッシングメールを開いた場合でも、フィッシング対策モジュールにより、機密性の高い情報(クレジットカード番号、有効期限、セキュリティコード(CVV)、暗証番号など)をフォームに入力することを防止できます。

最後に、二要素認証をサポートしているアカウントにこの認証を設定すると、第三者がユーザーのログイン資格情報を入手した場合でも、モバイル機器やトークン上のサービスによって送信される二次パスワードなしでは、第三者がログインすることはできません。もっともよく使用されているWebサービス向け二要素認証の設定方法に関するチュートリアルはこちらをご覧ください。

翻訳元記事 The ABC of Cybersecurity: P is for Phishing

自分をサポートする技術を使おう

フィッシング詐欺のように、見えない、判別しにくい脅威には、専用のセキュリティを利用することをお勧めします。SECURIEなら、ネットの入り口に設置するだけで、ネットワークを見える化し、すべての機器を保護します。PCやスマホはもちろん、セキュリティソフトを入れることができないNASやウェブカメラなども、フィッシング攻撃・ランサムウェア・不正アクセスの被害から守ります。

SECURIE_service191120.PNG