「下記のURL▼から、利用者認証を行ってください」──。銀行からこんなメールが突然届いたら、あなたはどうしますか。このメールはもしかしたら、攻撃者があなたをフィッシングサイトに誘導しようとしているのかもしれません。
フィッシングサイトとは、実在する銀行やショッピングサイトなどを装ったWebサイトで、攻撃者がユーザーに重要情報を入力させるために設置します。アカウント情報(ID、パスワード)▼やクレジットカード情報などを盗み出し、多くの場合が金銭を得ることを目的にしています(図1)。
図1●フィッシングサイトを使った攻撃の流れ
攻撃者は主にメールを使ってターゲットをフィッシングサイトに誘導する。フィッシングサイトでID/パスワードを入手したら、ユーザーは本物のWebサイトにリダイレクトされるため、情報を盗まれたことに気付きにくい。
[画像のクリックで拡大表示]
▼URL Uniform Resource Locatorの略。
▼アカウント情報(ID、パスワード) インターネットバンキングやオンラインゲームを狙ったフィッシングが多い。後者は、ゲーム内のお金や持ち物を現金に交換するRMT(Real Money Trading)を狙っている。
クラウドサービスも狙われる
ただこれからは、企業向けのクラウドサービスを狙う攻撃が増えてくるのではないかと、筆者は考えています。
メールのクラウドサービスで管理者のアカウント情報を盗めば、全従業員のメールを見られますし、なりすましによるソーシャルエンジニアリング▼も可能です。また、VPS▼などサーバーレンタルサービスの管理者のアカウント情報を奪うと、サーバーの設定を変更し放題になります。例えば、Webサイトの改ざんやデータベースの中身を盗み出すことも場合によってはできてしまいます。
▼ソーシャルエンジニアリング ユーザーの心理的な隙を突いて、攻撃者の思惑通りに行動させる手法。メールアカウントを乗っ取り、本人になりすましてメールを送って管理者にパスワードを聞き出すなどの手法がある。
▼VPS Virtual Private Serverの略。主にインターネット経由で利用する、仮想サーバーのレンタルサービスを指す。
このように、攻撃者は管理者のアカウントを奪えれば、わざわざ正面から脆弱性を利用するような攻撃をする必要がありません。仮に脆弱性が1つもないWebサイトであっても、裏口から入って改ざんなど好き勝手できしまうというわけです。
