- 会員限定
- 2011/08/01 掲載
多様化するフィッシング詐欺、ソーシャルメディアや寄付金サイトは安全か
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
フィッシングは組織犯罪のひとつ
典型的なフィッシングの形態として、特定サービスの会員やユーザーに向けて「システム変更を行います。以下のURLでパスワードの再設定を行ってください。」といった文面のメールを受け取った方も少なくないだろう。指定されたURLは精巧に作られた偽造サイトで、ID、パスワード情報を窃取する。場合によってはURLにも当該企業名を含めたり、1文字違いのドメイン名を使っていたりもする。金融機関のフィッシングサイトであれば、顧客の口座番号、暗証番号、クレジットカード番号などを入手できるので、攻撃者は、スパムのようにメールやウイルスをばらまいて情報を窃取するより効率よく金銭が得られる。そのため、フィッシング詐欺はいわゆるハッカーと呼ばれるような専門知識を持つ人間ではなく、もともと詐欺などの犯罪行為をビジネスとしている連中が手掛けていることが多い。
フィッシング詐欺の特徴は、次のように整理できるだろう。政府機関や大企業を名乗り、正規のメールを思わせるフォーマットやシグネチャで、正規のユーザーに誘導メールを送る。誘導先は画面デザインやロゴ、URLも含めて精巧に模倣された偽造サイトで、被害者の個人情報の窃取が目的とされる。正規サイトの改ざんではないので、自社サイトの防衛をいくら強化しても模倣サイトの立ち上げは防止できない。
また、被害が拡大すると、偽造が周知されるので模倣サイトの効果が薄れる。そのため「ヒットアンドアウェー」で当局や関係機関がサイトを閉鎖する前に消滅していることも多い。最近では、パブリッククラウドを利用して足取りを残さないというパターンも存在する。
まとめると、1)標的型の誘導メールで大手企業などの偽造サイトに接続させる、2)接続先は精巧に作られた偽造サイトであり、正規サイトの改ざんなどではない、3)目的はID、パスワード、口座番号、暗証番号などの窃取にある、という3点に集約される。
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
関連コンテンツ
PR
PR
PR