「下記のURL▼から、利用者認証を行ってください」──。銀行からこんなメールが突然届いたら、あなたはどうしますか。このメールはもしかしたら、攻撃者があなたをフィッシングサイトに誘導しようとしているのかもしれません。
フィッシングサイトとは、実在する銀行やショッピングサイトなどを装ったWebサイトで、攻撃者がユーザーに重要情報を入力させるために設置します。アカウント情報(ID、パスワード)▼やクレジットカード情報などを盗み出し、多くの場合が金銭を得ることを目的にしています(図1)。
クラウドサービスも狙われる
ただこれからは、企業向けのクラウドサービスを狙う攻撃が増えてくるのではないかと、筆者は考えています。
メールのクラウドサービスで管理者のアカウント情報を盗めば、全従業員のメールを見られますし、なりすましによるソーシャルエンジニアリング▼も可能です。また、VPS▼などサーバーレンタルサービスの管理者のアカウント情報を奪うと、サーバーの設定を変更し放題になります。例えば、Webサイトの改ざんやデータベースの中身を盗み出すことも場合によってはできてしまいます。
このように、攻撃者は管理者のアカウントを奪えれば、わざわざ正面から脆弱性を利用するような攻撃をする必要がありません。仮に脆弱性が1つもないWebサイトであっても、裏口から入って改ざんなど好き勝手できしまうというわけです。