「今のところ,フィッシング詐欺が狙うのはインターネット・バンキングなどのユーザーがほとんどだ。だが,今後は企業内ユーザーも狙われる可能性がある。例えば,その企業のIT部門になりすまして,従業員のIDやパスワードを盗むのである」――。英SurfControlのアジア地区副社長であるMark Trudinger氏は2月23日,IT Proの取材に対してフィッシングの危険性を警告した(写真)。
「フィッシングは脅威だ。インターネットの信頼感を大きく損なっている」(Trudinger氏)。同氏によると,フィッシングなどのオンライン詐欺がはびこっているために,インターネットを使った取引を止めるユーザーが増えているという。
また,フィッシングというと「銀行やECサイトをかたったメールを送り付け,それらの顧客(ユーザー)を偽サイトに誘導して個人情報を盗む」というのが一般的だったが,今ではフィッシングの定義が広がっているという。
「例えば,従業員をだまして企業内システムのID/パスワードを盗むこともフィッシングと呼べるだろう。企業のIT部門の管理者を装って,『ID/パスワードをチェックするので,下記サイトへアクセスして入力してください』などと書いたメールを送り付けるのだ」(Trudinger氏)
そのほか,ウイルスや悪質なプログラムを使ってhostsファイルを書き換える手法も出回っているという(関連記事)。
「フィッシングがはびこっているために,セキュリティ意識が高いユーザーはメール中のリンクをクリックしない。自分でURLを打ち込んでサイトへアクセスするようにしている。しかしhostsファイルを書き換えられていると,正しいURLをブラウザに入力しても悪質な偽サイトへ誘導されてしまう。これは危険だ。ユーザーや管理者としては,hostsファイルを書き換えられるようなことがないように,セキュリティ対策を施しておく必要がある」(Trudinger氏)
(勝村 幸博=IT Pro)
