セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第4回のテーマは、「フィッシング詐欺」です。銀行やクレジットカード会社などを装った文面や差出人やリンクテキストの偽装により受信者を「偽サイト」へ誘導し、IDやパスワードなどの情報を盗み出そうとするこの手口。被害に遭わないために注意すべきポイントについて整理しておきましょう。
「メールによるフィッシング詐欺の被害が相次いでいる」というニュースを見ました。具体的に、どんなメールが来るのでしょうか?
最近よく見かけるのは銀行などを装ったメールで、アカウントの確認を求める内容のものですね。
メールに記載したリンクから受信者を偽のサイトに誘導し、IDやパスワードなどを入力させて、その情報を盗み取る手法を「フィッシング詐欺」と呼びます。フィッシングメールは多くの場合、銀行やクレジットカード会社などを装い、受信者の不安をあおるような内容になっています。
下図は、実際に送信されたフィッシングメールの例です。タイトルは「重要なお知らせ」で、差出人は実際に存在する銀行となっています。文面に不自然な点はありますが、本文中に記載されているURLは、一見問題がなさそうに見えます。
しかしながら、このリンクをクリックしてしまうと、偽サイトに誘導されてしまいます。偽サイト上では、IDやパスワード、あるいは銀行の契約者に渡されている「乱数表」の番号などを入力させられます。このような情報を盗まれてしまうと、不正送金などの被害に遭ってしまう可能性があります。
なるほど。でも、インターネットバンキングを利用していない人には、フィッシングメールは送られてきませんよね?
インターネットバンキングを利用しているかどうかは関係ありません。また、攻撃者が装うのは銀行やクレジットカード会社だけとは限りません。
銀行などをかたるフィッシングメールの送信者は、受信者がその銀行を利用しているかどうかを把握しているわけではありません。「ランダムなメールアドレスを生成して送信する」「公開されているメールアドレスに送信する」「どこかから漏えいしたメールアドレスに送信する」など、何らかの方法で取得したメールアドレスに対して、無差別にメールを送り付けてきます。
フィッシングによってIDやパスワードを盗まれてしまった場合、攻撃者は他のサイトで同じIDとパスワードが使えないかを試すことができます。もしあなたが複数のサービスでパスワードを使い回していれば、一つのパスワードが盗まれただけで他のサービスのアカウントも乗っ取られてしまう可能性があります。
また、攻撃者が装うのは銀行やクレジットカード会社だけではありません。TwitterやFacebookなどのサービスを装ったメールを送信してくる場合もありますので、注意が必要です。
次ページから、フィッシングメールの偽装の手口について解説していきます。
Copyright © ITmedia, Inc. All Rights Reserved.