偽サイトにユーザーを誘導して個人情報などを盗もうとする「フィッシング詐欺」が全盛である。フィッシングはウイルスなどと比べれば歴史が浅い。しかし,もはやインターネットの「脅威」の定番の一つとなっている。

 フィッシングが厄介な点は,ユーザーの心理を突く詐欺であること。このため,セキュリティ製品などで100%防ぐことは難しい。だまされないためには,ユーザーの心がけが重要である。そのためには,フィッシングの手口を知ることが第一。そこで本稿では,ITproでここ1年に掲載したフィッシング関連記事をまとめたので参考にしていただきたい。

偽メールの文面は“脅かし”以外も

 フィッシングの基本的な手口は,まず,不特定多数に向けて,有名企業/組織をかたる偽メールを送信する。そして,偽メール中に偽サイトへのリンクを記述してユーザーを誘導し,個人情報などを入力させて盗む。

 このとき,偽メールに記述する文章の典型例は,ユーザーを脅かすもの。例えば,「×日以内にサイトへアクセスしないと,あなたのアカウントは失効します」といった具合だ。こういった文面の偽メールは数年前から存在し,現在でも多数出回っている。


偽サイトの画面写真(米SANS Instituteの情報から引用)
[画像のクリックで拡大表示]
 だが,“脅かし”以外の偽メールも最近目立つ。例えば,金銭を提供するという偽メールが確認されている。

「アンケートに答えたら20ドルあげます」,フィッシングの新手口 [2006年3月13日]

「400ドルが当たりました!」,米Googleを騙るフィッシング・サイトが出現 [2005年11月10日]

 また,大きな災害が発生した後には,決まって被災者への寄付に見せかけた卑劣なフィッシングが出現する。

ハリケーン被災者への寄付を募るフィッシングが続出,赤十字をかたるものも [2005年9月6日]

 仕事の斡旋や税金の還付通知をかたるフィッシングも確認されている。

就職を斡旋するフィッシング出現,真の仕事はマネー・ロンダリング [2005年11月19日]

英Sophos,税金還付を騙るフィッシング・メールを警告 [2005年12月3日]

 映画「スター・ウォーズ」の最新作が公開されたときには,スター・ウォーズのファンを狙うフィッシングも出現した。

「スター・ウォーズ」ファン心理を突くワームとフィッシング,IMユーザーは要注意 [2005年5月26日]

 苦情を装う偽メールもある。オークション・サイト米eBayをかたる偽メールは多数出回っているが,eBayからのメールではなく,eBayの他のユーザーからの苦情メールに見せかける偽メールも確認されている。

「苦情を装ったフィッシング・メールに注意」---フィンランドF-Secure [2005年8月10日]

 何でもフィッシングの“ネタ”されるのが現状である。くれぐれも,メールの文面だけからフィッシングかどうかを判断することのないように。

対岸の火事ではない

 専門家によれば,フィッシングの“本場”米国では,メールを信用できないような状況になっているという。

「巧妙になるフィッシングの手口,米国ではメールを信用できない状況に」---セキュアブレイン山村氏 [2005年05月12日]


Yahoo!をかたる偽サイトの画面例(フィッシング対策ワーキンググループの公開情報から引用)
[画像のクリックで拡大表示]
 実際,出回っている偽メールや偽サイトの多くは米企業などをかたっており,英語圏のユーザーを主なターゲットとしている。しかしながら,日本語のフィッシングも複数出回っている。

「あなたの評価が上がりました!」,Yahoo!オークションをかたるフィッシング [2006年4月7日]

KDDIに似せたフィッシング・サイト、警告発したKDDIが「内容を検証中」 [2006年3月27日]

Yahoo!オークションをかたる日本語フィッシングが出現 [2005年11月10日]

 古いところでは,2004年および2005年前半に,VISA(関連記事)やUFJ銀行(関連記事)をかたるフィッシングも確認されている。対岸の火事ではない。国内ユーザーも狙われているのだ。

新たな手口も続々


“本物”のSSL証明書を持つ偽サイトの例(Websenseの情報より)
[画像のクリックで拡大表示]
 フィッシングの新手口も続々出現している。最近確認された“画期的な”フィッシングの一つは,“正当な”デジタル証明書を持つ偽サイトを使うもの。

“本物”のSSL証明書を持つフィッシング・サイト出現 [2006年2月14日]

 この例で使われている偽サイトは,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行された正規のSSL用サーバー証明書(デジタル証明書)を持つ。デジタル証明書は,Webブラウザに登録されているCA(認証局)ベンダーが発行したものなので,ブラウザは警告を出すことなく,SSL通信であることを示す錠マークを表示する。

 ドメイン名をきちんとチェックすれば偽サイトであることが分かるものの,ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できない。

 フィッシングの中には,偽サイトを使わずに,個人情報をメールで送信させるものがある。その“発展形”として,ファックスで送信させるフィッシングも出現している。

「ファックスで個人情報を送信させるフィッシングが出回る」---英Sophos [2005年8月11日]

 フィッシングであることがばれると,偽サイトはすぐに閉鎖される。それに備えて,複数の偽サイトを用意する新手口も確認されている。

フィッシングに新たな手口,「偽サイトが閉鎖されたら,別の偽サイトへ誘導」 [2006年3月10日]

 フィッシングを試みる“フィッシャー”はあの手この手でユーザーをだまそうとする。ユーザーとしては,個人情報を要求するようなメールやサイトについては,まずは疑ってかかるぐらいの慎重さが必要である。

 メールをビジネスに利用している企業では,フィッシングに間違えられないようにすることが重要だ。

“フィッシング時代”のメール「べからず」集 [2005年8月1日]

 コストはかかるが,デジタル署名を付与するのも一つの手だろう。ただしその際には,デジタル署名の意味をユーザーに理解してもらわなければ意味がない。

三井住友銀行が顧客へのメールにデジタル署名,フィッシング対策として [2006年4月16日]