|
Q. フィッシングって、釣られるとどうなるの? A. クレジットカード番号やID/パスワードなどが盗まれてしまいます。 |
フィッシング詐欺とは?
「フィッシング詐欺」とは、実在する金融機関やオンラインショップのWebサイトを偽装して、パスワードやクレジットカード番号等の個人情報を盗み取る犯罪行為のことである。
フィッシング(Phishing)の語源は、詐欺行為を働く者がメールを使ってインターネットユーザーから個人情報等を「釣り上げる(Fishing)」ところからきている。「F」が「Ph」なのは、ハッカー等がインターネット上で「F」を「Ph」に置き換えて表記する慣習、または「洗練された(手口で騙す)」という意味の単語「Sophisticated」と「Fish」を組み合わせた造語などといわれている。
フィッシング詐欺による被害の代表的な例は、以下のようになる。
- クレジットカード情報の不正利用
- 銀行口座の不正利用
- インターネット上でのなりすまし
- 個人情報の売買
フィッシング詐欺の代表的な手口
では、どのような方法でフィッシングは行なわれるのだろうか。以下にフィッシング詐欺の代表的な手口を挙げる。
紛らわしいURL
紛らわしい企業名やブランド名(または略称)をフィッシングサイトのURLに用いることで、いかにもその企業やブランドのサイトであるかのように見せる。一部はマスクしたが、表1に挙げたものは、過去に実際にフィッシングに使われたURLである。
表1 フィッシング詐欺に使われたURLの例
電子証明書の偽装
会員向けにサービスを提供したり、個人情報の入力を受け付けるWebサイトなどには、通常そのサイトの実在性を証明するための電子証明書が置かれている。一般的に、Webサイトの証明書に記載されているURLとブラウザのアドレスバーに表示されているURLが同一のものであれば安全といわれているが、有効期限が切れた証明書や、証明書を偽装することで、利用者を騙す手口もある。
実在するブランドロゴの盗用
フィッシング詐欺サイトを本物のWebサイトだと思い込ませるために、実在する企業やWebサイトからロゴをコピーして悪用する。また、HTML形式のメールは、実際に接続するURLの隠ぺいが可能なため、フィッシングメールに多用されている(画面1)。
画面1 メール本文のURLは信頼できるドメイン名だが、ポップアップを見るとまったく異なるURLへのリンクであることがわかる
差出人のメールアドレスを詐称
差出人の電子メールアドレスを詐称することで、本物らしさを装う。
(次ページ、「ほかにもあるフィッシングの手口」に続く)
この連載の記事
- 第11回 今どきのウイルスに対抗する方法を教えてください
- 第10回 指紋や顔型でユーザー認証をする理由とは?
- 第10回 ユーザー認証でなにができるのですか?
- 第9回 電子証明書がなぜ必要か知っていますか?
- 第8回 ファイアウォールはどのように動くのですか?
- 第7回 共通鍵暗号のメリットってなに?
- 第6回 IP電話にはどのような危険がありますか?
- 第5回 無線LANって本当に安全なの?
- 第4回 SQLインジェクションやXSSって何されるの?
- 第3回 Winnyは使ってはいけないのですか?
- 第2回 不審なメールはなぜ開いてはいけない?
- この連載の一覧へ
