フィッシングとは

フィッシングは、"ブランドスプーフィング" とも呼ばれ、ISP 企業、銀行、オンラインバンキングサービス、政府機関などの潜在顧客に狙いを定め、データ窃盗を巧妙な手段で行うものです。

インターネットでメールアドレスを送信、オンラインフォームに入力、ニュースグループや Web サイトにアクセスすると、データがインターネットをクロールするスパイダによって盗まれ、許可なく詐欺やその他の犯罪に使用される可能性があります。

フィッシングのしくみ

フィッシング詐欺師は、知名度も信用性も高いサービスプロバイダの企業イメージをまねた、見せかけの Web ページを作成します。次に、集めておいたメールアドレスやランダムに生成したメールアドレスを使って、"餌を撒きます"。
もっともらしい件名を付けたメッセージをメールまたはインスタントメッセンジャーで送信し、機密性の高いデータの入力が必要である旨を通知し、"ここをクリック" リンク、; URL リンク、; イメージリンク、; テキストリンクから Web サイトにアクセスするように仕向けます。また、メール自体のフォームに入力させるように仕向けることもあります。見かけ上はもっともらしい要求を装い、中には、すぐに要求に応えないと重大な事態になると脅かすケースもあります。

メールの件名には次のような例があります。
"PayPal アカウント更新手続きのお知らせ"
"eBay ユーザーアカウントが無効になっています"

要求される情報は、通常、次のとおりです。
$ クレジットカード番号;
$ ATM 暗証番号および TAN 番号;
$ 銀行口座に関する情報;
$ 社会保障番号;
$ パスワード;
$ 電子メールアカウント;
$ その他の個人情報

いったん入力してしまうと、ユーザーの情報は秘密の情報ではなくなり、金品を得るために詐欺師にすぐに使われてしまいます。フィッシングサイトは一般的に数日後、または数時間後にはインターネットから姿を消すため、金銭を取り返すことはほぼ不可能です。

フィッシングで使われる手口

主な手口は、もっともらしく見えるメールを使用して、偽装 Web ページにアクセスするように仕向けます。フィッシングのメールによっては、アプリケーションが添付されていたり、メッセージ本文に直接、注文フォームが入っていたりするものもあります。正当なメールであれば、個人情報を入力するためのフォームが入っていたり、個人情報の入力を求める内容が記載されていたりすることは絶対にありません。

偽装 Web サイトの URL をよく見ると、正式のものとは違っていることがあります。それでも、URL を偽装する手口は、次に示すように何とおりかあります。

ソーシャルエンジニアリング :
URL が正規のサイトのものによく似せて作ってあります。最初に見ただけで、これに気付く人もいるかもしれません。たとえば、http://www.volksbank.com という正規のサイトの URL を http://www.voIksbank.com という URL で偽装します。同じように見えますが、実は違います。小文字の "l" が大文字の "i" で置き換えられています。
ブラウザの脆弱性 :
偽装 Web サイトに、ブラウザの弱点をつくスクリプトが入っていることがあります。この場合、正規のサイトの URL が表示されますが、Web ページの内容は偽装サーバーの内容です。たとえば、ブラウザの実際のアドレスバーに重ねる形で偽装用の画像を表示します。 URL を選択しようとしても、バーの入力フィールドをクリックできません。その他に弱点をつく手口としては、画面上に重ねる形で偽の入力フィールドを表示する手口があります。この場合には、フィールドをクリックして、URL を選択することも可能です。
ポップアップ :
メールに掲載されているリンクは、正規の Web サイトがリンク先になっているものの、別のブラウザウィンドウが開いて前面に表示されます。実際には、正規の Web サイトを参照しても危険はありませんが、別に開いたウィンドウに騙されないようにしてください。このタイプのポップアップには、通常、アドレスバーが付いていないので、そのことが偽装 Web サイトかどうかを見分ける際の判断材料になります。
アドレスバーの表示なし :
偽装サイトによっては、アドレスバーをまったく表示しないものもあるので、意識的に確かめようとしない限り、その内容に気が付かない可能性があります。

アドレスバーを使った騙しの手口の他にも、いろいろな手口があります。このような手口は、機密情報を手に入れるために、他の手口と組み合わされることもあれば、単独で使用されることもあります。

ブラウザのその他の脆弱性 :
ブラウザのその他の脆弱性を悪用されて、悪意のあるソフトウェアをダウンロードし、実行してしまうケースもあります。このようなケースで使用される悪意のあるソフトウェアとしては、トロイの木馬があります。一部のトロイの木馬は、ユーザーがオンラインフォームでデータを入力して送信しようとするときを特に狙って、キー操作をすべて記録し、インターネットのトラフィックをすべて傍受します。
ファーミング :
"ドメインスプーフィング" とも呼ばれ、ユーザーを偽装 Web サイトにリダイレクトするときに使われます。ブラウザには正しい URL を入力したにもかかわらず、偽装 Web サイトにリダイレクトされてしまいます。ブラウザの URL 自体は、入力したときのまま何も変わりません。リダイレクト処理を行うには、名前解決を変更する必要があります。これには、TCP/IP プロトコル設定を変更する方法と、hosts ファイルのエントリを変更する方法があります。
中間者攻撃 :
ローカルコンピュータには何の変更も必要ないため、おそらく最も高度な手口です。フィッシング詐欺師は、コンピュータと偽装サーバーの間に介在し、ユーザーの通信を偽装サーバーにリダイレクトします。

フィッシングのカムフラージュ

フィッシング Web サイトでは、次のような細工も使われることがあります。

偽のツールヒントの表示
右クリック不能

フィッシング詐欺師は、アンチスパム/アンチフィッシングプログラムで検出されないように、次のような手口を使います。

メールの件名または本文にランダムな文字を入れたり、よく使われる定型句を入れたりする;
HTML 形式のメールに非表示テキストを使用する;
平文ではなく HTML コンテンツまたは Java コンテンツを使用する;
画像のみ (メールの本文に文字なし)

結果として起きる事象

フィッシング詐欺師はさまざまな手口を使い、また複数の手口を組み合わせることもあるため、メールが正当なものかどうかを判断することが難しくなっています。

機密情報を漏らすと、次のような結果になります。

$ アカウントを使われて支払いがかさむ可能性があります。
$ 新規の口座を開設されたり、公共料金を肩代わりさせられたり、名義を勝手に使われてローン契約されたりする可能性があります。
$ 個人情報が偽の ID の取得と犯罪行為に使われる可能性があります。

相手の思惑にはまらないように気を付けましょう。

メールに機密情報を入力するフォームがあっても、入力しないようにします。きちんとしたサービスプロバイダでは、保護のかかった Web サイトとデジタル証明書を使用しています。
メールに付いているリンクをクリックしないようにしてください。そのメールを思いがけず受け取った場合には、特に気を付けてください。メールの送信者に、そのメールを本当に送るつもりで送ったのかどうかを確認します。問い合わせには、メールに記載されている電話番号ではなく、その会社が出している電話番号を使用してください。
返事を送らないようにします。メッセージを削除し、実際の会社に問い合わせます。問い合わせには、メールに記載されている電話番号ではなく、その会社が出している電話番号を使用してください。
このようなメッセージに掲載されているリンクをクリックしてアクセスしないでください。ブラウザにアドレスを自分自身で入力してみます。

安全維持ルール

フィッシングで受けた損害を元に戻そうとしても、なかなか思い通りにならず、時間がかかる可能性があります。生産性やネットワークリソース利用の低下だけでなく、責任上、盗まれたデータの後処理に相当の労力が必要になります。そればかりではなく、身元情報、財産、および権利を元に戻し潔白を証明する必要もあります。

基本的ないくつかの安全維持ルールに従った方がはるかに簡単です。

最新の修正プログラムがあれば、すぐにその修正プログラムでオペレーティングシステムを更新します。
Internet Explorer 以外のブラウザを使うようにします。
アンチウイルスソリューションとファイアウォールソリューションを使うようにし、これらのソリューションを常に最新の状態に維持します。
リンクからアクセスせずに、必ず自分自身で URL を入力するようにします。
保護のかかった Web サイト (HTTPS) にアクセスしていることを確認し、デジタル証明書の正当性を調べます。
口座の残高と口座取引の明細を定期的にチェックし、身に覚えのない取引があれば、すぐに報告します。
疑わしいメールを受け取ったら、最寄りのセキュリティ企業やセキュリティ機関に知らせます。

Avira の次のアドレスに、疑わしいメッセージをお送りください。

ウイルス関連用語