• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「“餌”はメールだけではない」---2006年のフィッシング詐欺を振り返る

勝村 幸博=ITpro 2006/12/27 ITpro

 米SymantecのZulfikar Ramzan氏は12月26日,同社公式ブログにおいて2006年のフィッシング詐欺を総括した。それによると,2006年はフィッシング詐欺の数が増えただけではなく,攻撃者が新たな“戦略”をとるようになった年だという。

 フィッシングの“基本戦略”は,実在する企業や組織から送られたように見せかけた偽メールでユーザーを偽サイトへ誘導し,個人情報などを入力させること(関連記事)。偽メールを“餌”にした“釣り”のように見えるため,「フィッシング」という名前が付けられている(スペルはfishingではなく,phishing)。

 メールを使って偽サイトへ誘導する従来型のフィッシングは依然増えているが,2006年は,この方法以外でユーザーを“釣る”フィッシングも確認され始めたという。その一つが,電話を使ったフィッシングである。偽メールには,偽サイトのURLではなく,ある電話番号を記載しておく。そしてその電話をかけさせて,口座番号などを盗もうとする(関連記事)。いきなり虚偽の電話をかけて個人情報を盗もうとする手口も確認されている(関連記事)。電話を使ったフィッシングは,「Voice phishing」や「vishing」などとも呼ばれる。こういった手口は,IP電話の普及により電話を使うコストが低くなったために可能になっているとする。

 そのほか,SMS(ショート・メッセージ・サービス)を使うフィッシングも確認されているという。SMSを使って,「あなたはあるWebサイトに登録されているので,以下のサイトにアクセスしてキャンセルしなければ,1日あたりXドル課金されます」といった偽のメッセージを送りつける。ユーザーが慌ててそのサイトにアクセスしてキャンセルの手続きをしようとすると,最終的には悪質なプログラムをインストールされて,そのマシンを乗っ取られてしまうという。この手口は「smishing」などとも呼ばれる。

 加えて,IM(インスタントメッセージ)も“餌”として盛んに使われるようになったという。IMを使って偽サイトへ誘導するようなメッセージを送り,個人情報を盗む。例えば,ユーザーの知人から送られたようなメッセージを使って偽サイトへ誘導し,IMのユーザー名とパスワードを入力させて盗む。その後,それらを使ってそのユーザーのアカウントにログインしてコンタクト・リストを盗み,リストに記載されているユーザーにも同様のフィッシングを仕掛けるという。

 Ramzan氏によると,フィッシングはビジネスとしておこなわれていることが明らかになっており,今後もやむことがないだろうとしている(関連記事)。現在は米国などの英語圏がフィッシング詐欺の主なターゲットだが,2007年以降は日本も“本格的”に狙われる可能性が高いので,十分注意したい。

Symantecの情報

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    CPU脆弱性問題、現場への影響を独自調査で明らかにしたい

     「パッチの適用は様子見している。別の問題が起きても困ってしまうからだ」。あるシステム運用企業の社長はこう打ち明けます。2018年1月3日に明らかになったCPUの脆弱性問題。IT各社は急いで修正パッチなどの対策を公開しましたが、この対策が思わぬ余波を引き起こしています。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る