検索
連載

なぜ、「フィッシング詐欺」に気付けないの?セキュリティ、いまさら聞いてもいいですか?(4)(1/4 ページ)

セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第4回のテーマは、「フィッシング詐欺」です。銀行やクレジットカード会社などを装った文面や差出人やリンクテキストの偽装により受信者を「偽サイト」へ誘導し、IDやパスワードなどの情報を盗み出そうとするこの手口。被害に遭わないために注意すべきポイントについて整理しておきましょう。

Share
Tweet
LINE
Hatena
「セキュリティ、いまさら聞いてもいいですか?」のインデックス

連載目次

銀行だけじゃないフィッシング詐欺

「メールによるフィッシング詐欺の被害が相次いでいる」というニュースを見ました。具体的に、どんなメールが来るのでしょうか?


最近よく見かけるのは銀行などを装ったメールで、アカウントの確認を求める内容のものですね。


 メールに記載したリンクから受信者を偽のサイトに誘導し、IDやパスワードなどを入力させて、その情報を盗み取る手法を「フィッシング詐欺」と呼びます。フィッシングメールは多くの場合、銀行やクレジットカード会社などを装い、受信者の不安をあおるような内容になっています。

 下図は、実際に送信されたフィッシングメールの例です。タイトルは「重要なお知らせ」で、差出人は実際に存在する銀行となっています。文面に不自然な点はありますが、本文中に記載されているURLは、一見問題がなさそうに見えます。

 しかしながら、このリンクをクリックしてしまうと、偽サイトに誘導されてしまいます。偽サイト上では、IDやパスワード、あるいは銀行の契約者に渡されている「乱数表」の番号などを入力させられます。このような情報を盗まれてしまうと、不正送金などの被害に遭ってしまう可能性があります。

なるほど。でも、インターネットバンキングを利用していない人には、フィッシングメールは送られてきませんよね?


インターネットバンキングを利用しているかどうかは関係ありません。また、攻撃者が装うのは銀行やクレジットカード会社だけとは限りません。


 銀行などをかたるフィッシングメールの送信者は、受信者がその銀行を利用しているかどうかを把握しているわけではありません。「ランダムなメールアドレスを生成して送信する」「公開されているメールアドレスに送信する」「どこかから漏えいしたメールアドレスに送信する」など、何らかの方法で取得したメールアドレスに対して、無差別にメールを送り付けてきます。

 フィッシングによってIDやパスワードを盗まれてしまった場合、攻撃者は他のサイトで同じIDとパスワードが使えないかを試すことができます。もしあなたが複数のサービスでパスワードを使い回していれば、一つのパスワードが盗まれただけで他のサービスのアカウントも乗っ取られてしまう可能性があります。

 また、攻撃者が装うのは銀行やクレジットカード会社だけではありません。TwitterやFacebookなどのサービスを装ったメールを送信してくる場合もありますので、注意が必要です。

Quiz:どうして「怪しいメール」に気付けないのでしょう?

次ページから、フィッシングメールの偽装の手口について解説していきます。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る