フィッシングって、釣られるとどうなるの？

2009年05月14日 11時30分更新

文● 中田太／セキュアブレイン、ネットワークマガジン編集部

ほかにもあるフィッシングの手口

　「振り込め詐欺」や「オークション詐欺」等と同様に、フィッシング詐欺においても、攻撃者によって新たな手口が次々に考え出されている。

　それらの中には以下に挙げるように、より巧妙な手口で特定のグループに属する個人を釣り上げようとしたり、技術的に高度な手法を用いたものなどもある。

スピア型フィッシング

　「スピア（spear）」とは「槍」を意味する。特定の組織や個人という“一点”を狙ってフィッシング詐欺を行なうことから、このように呼ばれている。最近では、国の機関や大企業の中の特定組織を狙ったスピア型フィッシングが多く確認されている。

中間者攻撃（Man-In-The-Middle Attack）

　通信を行なう二者間、たとえばインターネットバンキングサービスを提供するWebサイトと、利用者のパソコンとの間に、悪意のある第三者が割り込んで、当事者である両者には気付かれることなく情報を詐取したり、通信内容を改ざんしたりする攻撃手法。

マルウェアを利用した情報詐取

　IDやパスワード、クレジットカード番号等を盗み取るマルウェア（不正プログラム）による情報の漏えい事件も多数報告されている。マルウェアがフィッシングメールの添付ファイルとして配布される場合と、フィッシング詐欺サイトからダウンロードさせる場合とがある。情報詐取を目的としたマルウェアでは「キーロガー」と呼ばれる、ユーザーのコンピュータ上でのキーボードのタイプ内容を密かに記録し、ID／パスワードを盗むものが有名。しかし最近では、ワームやトロイの木馬といった不正プログラムでも、情報詐取を目的として作られているものがある。

フィッシングに遭わないための護身術

　では、どうすればフィッシング被害に遭いにくくなるのだろうか。最後に、その対処法も挙げておこう。

　まず第一に、HTML形式のメールに記載されているURLリンクは、安易にクリックしないこと。仮に電子メールにURLリンクが記載されていても、利用する場合には自分で作成したブックマークから選択するようにしよう。

　また、メールに表示される「差出人」は偽装が可能である。会社の同僚や友人の名前が記載されていても、内容的に不審なメールは削除する癖を付けたい。加えて、ID／パスワードの確認や問い合せ、変更等についての電子メールには、いっそうの注意が必要だ。通常、銀行やプロバイダなどは、メールによる個人情報の確認は行なわない。それらを尋ねてくるという時点で、十分に怪しいと判断すべきだ。

　そのほか、銀行口座やクレジットカードの停止通知、あるいはシステム障害の連絡などが送られてきても、慌てる必要はない。まずは銀行やクレジットカード会社に「電話で」確認しよう。当然、この電話番号はメールに書かれているものではなく、Webサイトなどの問い合わせ先を利用する。

　このとき、Webサイトが本物であることを確認しなければ意味がない。多くの企業では、自社Webサイトの正当性を証明する技術を導入している。よく利用するWebサイトについては、あらかじめ確認しておきたい。また、ひんぱんに利用したり、自分が会員になっているWebサイトは、正しいURLをブックマーク（お気に入りに登録）して、そこからアクセスするようにしたい。