偽のメールで偽サイトに誘導する「フィッシング詐欺」が後を絶たない。最近では、三菱東京UFJ銀行をかたるフィッシング詐欺が出現し、フィッシング対策協議会が注意喚起している(関連記事:「個人情報が漏洩しました!」、三菱東京UFJ銀行をかたるフィッシング)。銀行をかたるフィッシング詐欺の狙いは、ユーザーIDやパスワード(暗証番号)を盗んで不正送金を行うことだ。
不正送金と言えば、ウイルス(マルウエア)を使う手口が主流。ウイルスを使って正規サイトの一部を書き換える「Webインジェクション攻撃」や、Webブラウザーと正規サイト間の通信を傍受・改ざんする「MITB(マン・イン・ザ・ブラウザー)攻撃」が話題になることが多い(関連記事:MITB攻撃)。だが、昔ながらのフィッシング詐欺もいまだに“健在”なのだ。
Webインジェクション攻撃やMITB攻撃では、Webブラウザーに表示されているのは正規サイトなので、アドレスバーに表示されているURLは本物。URLを確認しても、被害に遭っていることはまず分からない。
だがフィッシング詐欺では、画面の表示が本物そっくりでも、アクセスしているのは全くの偽サイト。URLを確認すれば、偽物であることはすぐに分かる。それでもフィッシング詐欺がすたれないのは、だまされる人がいるからだ。だまされる人がいる限り、フィッシング詐欺はなくならない。
ITproの読者なら、単純なフィッシング詐欺に引っかかることはないと思うが、改めて注意してほしい。そして、家族や友人など、身の回りの人にも注意するよう呼びかけてほしい。フィッシングの存在自体を知らない人は少なくないはずだ。
例えば、情報処理推進機構(IPA)が5160人を対象に実施したアンケート調査では、フィッシング詐欺について、「詳しい内容を知っている」という回答が15.3%、「概要をある程度知っている」が37.3%。「名前を聞いたことがある程度」は37.9%、「名前も概要も知らない」は9.5%を占め、回答者の半数近くは、具体的な手口を知らないようだった。
